iOS 5 Sicherheitslücke entdeckt, Ausführen von Schadcode möglich

| 11:33 Uhr | 3 Kommentare

Ein Sicherheitslücke in iOS 5 sollte dieser Tage Apple Arbeit bereiten. Charlie Miller, spezialisiert auf Sicherheitslücken in Mac OS X und iOS, hat ein Sicherheitsloch in iOS 5 gefunden, bei dem signierte Applikationen von einem Fremdserver Schadcode nachladen und ausführen können. Noch hat Miller seine Methode nicht öffentlich gemacht, in der kommenden Woche will er dies jedoch auf der SysCan Konferenz in Taiwan tun. Den Beweis, dass Schadcode auf dem iPhone und Co. ausgeführt werden kann, ist er längst angetreten.

Miller entwickelte eine Applikation namens Instastock (Anzeige von Aktienkursen), die er ganz normal im App Store einreichte und die auch den Apple Zulassungsprozess positiv durchlief. Die App zeigte jedoch nicht nur Aktienkurse an, so konnte diese auch mit einem Server in Millers Haus kommunizieren und jeglichen Code ausführen. So kann er unter anderem auf Fotos des Gerätes zugreifen, Kontaktdaten auslesen, das iPhone vibrieren lassen oder einen Ton abspielen. Die Möglichkeiten sind „fast“ unendlich.

Zur Erhöhung der Browser Geschwindigkeit hat Apple im vergangenen Jahr die interne Speicherverwaltung und die verschiedenen Speicherebenen neu strukturiert. Gezwungenermaßen lässt Apple die Ausführung von nicht signiertem Code in einem Speicherbereich zu, was zuvor nicht möglich war. Dies gilt allerdings nur für den Safari Browser. Millers Sicherheitslücke setzt genau da an, er hat eine Möglichkeit gefunden, nicht signierten Code in diesem Speicherbereich auch von anderen Applikationen als Safari ausführen zu lassen.

Mittlerweile hat Apple die Instastock Applikation aus dem App Store entfernt und Miller wegen des Missbrauchs seine Entwicklerlizenz entzogen. Nun ist Apple gefordert, das Loch zu stopfen. (via)

Kategorie: iPhone

Tags: ,

3 Kommentare

  • John McX

    je mehr das iPhone zum „Volkshandy“ wird, desto mehr A………. entwickeln Hacks.

    Kein Wunder, dass Apple die Geräte schützen will und keine downloads ausserhalb des App Stores zulässt.

    Jailbreaks laden jeden Hacker dazu ein, Codes auf dem iPhone auszuführen. Wenn ich sehe, was alles so auf Android-phones ausgeführt werden kann …..

    08. Nov 2011 | 12:06 Uhr | Kommentieren
  • chris.

    im endeffekt ist das iphone-dev-team und Leute/hacker wie miller nichts anderes als eine außer haus qualitätskontrolle. apple hätte so manche lücke noch nicht geschlossen wenn es die jailbreaker nicht gäbe…

    apple will mit sicherheit nicht nur die iphone nutzer schützen, dem konzern geht es um die 30% (waren es 30?) die sie an jeder bezahlten applikation mitverdienen.

    da frage ich mich außerdem was aus dem ios VLC player geworden ist, der rausgenommen wurde weil apple probleme mit der offenlegung des codes probleme hatte da die software unter einer anderen lizenz läuft.

    08. Nov 2011 | 16:23 Uhr | Kommentieren
  • Marcel

    Dar ihr es grad mit sicherheitslücken habt wollte ich wissen ob ihr nicht mal einen Artikel über di China App ?????? schreiben könnt. Nach dem kostenlosen Download fordert sie einen auf sein Passwwort einzugehen!! Wenn man dies tur werden 79,99 von der ID abgebucht !! Achtung di China App kann sich auch von eileine runterladen !! Ich wäreeeichtert wenn ihr über die China App etwas schreib!! Erbitte um Erfahrungen und informationen !!

    09. Nov 2011 | 6:35 Uhr | Kommentieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

iPhone X bestellen

Hier informieren

iPhone X bei der Telekom
iPhone X bei Vodafone
iPhone X bei o2

JETZT: iPhone X bestellen