Zero Day: iOS wird über präparierte E-Mails gehackt

Zwei Sicherheitslücken in iOS werden seit mehreren Jahren aktiv ausgenutzt. Ein Patch wurde noch nicht ausgespielt.

Artikel veröffentlicht am ,
Ein iPhone
Ein iPhone (Bild: hurk/Pixabay)

Die Sicherheitsfirma ZecOps hat gleich zwei Zero-Day-Sicherheitslücken in Apples mobilem Betriebssystem iOS entdeckt. Angreifer sollen diese bereits seit mehreren Jahren aktiv ausnutzen. Unter den Opfern sollen sich laut der Sicherheitsfirma mehrere Geschäftsführer sowie ein deutscher VIP befinden. Apple hat bereits einen Patch erstellt, der jedoch noch nicht ausgeliefert wurde.

Stellenmarkt
  1. (Junior) IT Consultant - Security Operations (m/w/d)
    Melitta Gruppe, Minden
  2. Senior-Softwareentwickler m/w/d .NET, C#
    Klinkhammer Intralogistics GmbH, Nürnberg
Detailsuche

Angreifer können die Sicherheitslücken über präparierte E-Mails ausnutzen, die sie an ihre Opfer senden. Nutzen diese Apples integrierte Mail App, lassen sich je nach Sicherheitslücke ein Heap-Overflow oder ein Out-of-Bound-Write triggern, mit denen sich Code aus der Ferne ausführen lässt. Unter iOS 12 muss die Angreifer-E-Mail vom Nutzer geöffnet werden. Diese enthält jedoch keinen Inhalt.

Unter iOS 13 lässt sich der Angriff komplett ohne Nutzerinteraktion im Hintergrund durchführen. Abgesehen von einer vorübergehenden Verlangsamung des Geräts sei der Angriff für die Opfer nicht wahrnehmbar. Da sich mit den Sicherheitslücken Code im Rahmen der Mailapp (iOS 12) beziehungsweise Maild (iOS 13) ausführen lässt, kann der Angreifer die E-Mail anschließend einfach löschen. Um das iPhone oder iPad komplett zu übernehmen, benötigt der Angreifer eine weitere Sicherheitslücke zur Rechteausweitung. Die Kombination mehrerer Sicherheitslücken, das sogenannte Chaining, ist jedoch nicht unüblich. Im vergangenen Jahr entdeckte Google fünf verschiedene Exploit Chains für iPhones, die aktiv ausgenutzt wurden.

Die Sicherheitslücken wurden bereits im Jahr 2012 mit iOS 6 eingeführt. Laut ZecOps werden sie seit mindestens 2018 für gezielte Angriffe genutzt. Unter den von ZecOps identifizierten Opfern sollen sich ein europäischer Journalist, mehrere Mitarbeiter eines umsatzstarken Unternehmens in den USA sowie ein "VIP aus Deutschland" befinden. Weitere Details nennt die Sicherheitsfirma jedoch nicht.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Auf die Zero Days aufmerksam geworden sei ZecOps über mehrere verdächtige Crashes der Mail App geworden, welche sie anschließend untersucht habe, erklärt die Sicherheitsfirma. Die Sicherheitslücken seien im Februar an Apple gemeldet worden. Da die Sicherheitslücken bereits durch Patches im Rahmen von Apples Beta-Updates veröffentlicht wurden, wüssten die Angreifer, dass ihnen wenig Zeit bliebe, die Sicherheitslücke auszunutzen, schreibt die Sicherheitsfirma. Diese würden die verbleibende Zeit wahrscheinlich für weitere Angriffe nutzen, daher habe sich ZecOps entschlossen, Details zu den Sicherheitslücken zu veröffentlichen und so die iOS-Nutzer zu warnen. Diese könnten sich schützen, indem sie Apples Mail App unter iOS vorübergehend nicht nutzen würden. Die Mail App unter MacOS ist von den Sicherheitslücken nicht betroffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
App
Betrüger nutzen Lidl Pay aus

Mit Lidl Pay kann man einfach per App zahlen - offenbar werden die angegebenen Kontodaten für das Lastschriftverfahren aber nicht ausreichend geprüft.

App: Betrüger nutzen Lidl Pay aus
Artikel
  1. Tesla Model Y als Taxi: Elektrischer Taxidienst Revel scheitert in New York
    Tesla Model Y als Taxi
    Elektrischer Taxidienst Revel scheitert in New York

    Weil eine Behörde eine Ausnahmeregelung für Elektroautos kassiert hat, kann ein Startup keine Tesla-Taxis in New York betreiben.

  2. Infrastruktur: Wie das Internet am Kapitalismus scheitert
    Infrastruktur
    Wie das Internet am Kapitalismus scheitert

    Immer häufiger fallen wegen Fehlern eines einzigen Dienstes Tausende von Webseiten aus. Das zeigt: Das Internet stößt im Kapitalismus an Grenzen.
    Ein IMHO von Sebastian Grüner

  3. Anti-Virus: John McAfee tot im Gefängnis aufgefunden
    Anti-Virus
    John McAfee tot im Gefängnis aufgefunden

    John McAfee ist tot in einer Gefängniszelle gefunden worden. Ihm drohte eine Auslieferung von Spanien in die USA.

mushid0 26. Apr 2020

Nennt sich outlook, zu finden im app store

Grolox 25. Apr 2020

Freiheit statt Apple ...nun es gab ja schon mehr Kommentare von Ihnen in verschiedenen...

dengledingo 25. Apr 2020

Für iOS 12 wurde gestern noch ein 12.4.6 veröffentlicht.

tomatentee 25. Apr 2020

Unter Android darf eine Mailapp auch ihre eigene IMAP-Implementierung mitbringen. Unter...

tomatentee 25. Apr 2020

Wieso sollte ein Mailprovider Apples Totalversagen (es gibt noch immer keinen Patch...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + Ratchet & Clank Rift Apart 87,61€ • 6 Blu-rays für 30 Euro [Werbung]
    •  /