Bereits gestopft: Massive iOS-Sicherheitslücke ermöglichte Vollzugriff auf beliebige iPhones
Apples AWDL-Protokoll dürften vermutlich die wenigsten Otto-Normal-Nutzer kennen. AWDL steht dabei für "Apple Wireless Direct Link" und wird von Apple unter anderem für den Aufbau von Ad-Hoc Netzwerken zwischen Geräten verwendet, über das dann beispielsweise die Datenübertragung via AirDrop realisiert wird. Bereits in der Vergangenheit wurden über dieses Protokoll allerdings auch verschiedene Schwachstellen ausgenutzt, wodurch sich potenzielle Angreifer Zugriff auf verschiedene Daten auf einem kompromittierten iPhone verschaffen konnten. Diese Angriffe waren allerdings Kinderkram verglichen mit dem, was der Sicherheitsforscher Ian Beer nun aufgedeckt hat.
Beer ist in Googles "Projekt Zero" Projekt tätig, welches es sich zum Ziel gesetzt hat, Sicherheitslücken in den verschiedensten Systemen aufzudecken. Seine entdeckung hat der Sicherheitsforscher nun in einem 30.000 Wörter umfassenden Artikel unter dem Titel "An iOS Zero-Click Radio Proximity Exploit Odyssey" zu Protokoll gebracht. Wer technisch interessiert ist, sollte dem verlinkten Artikel durchaus mal einen Besuch abstatten. Zusammengefasst gelang es Beer durch die Ausnutzung einer Schwachstelle im AWDL-Protokoll, konkret einen ausgelösten Pufferüberlauf, die komplette Kontrolle über ein beliebiges iPhone in der Nähe zu übernehmen. Dies umfasst den root-Zugriff auf iOS, aber natürlich auch den Zugriff auf sämtliche auf dem Gerät gespeicherte Daten wie Fotos, Nachrichten, E-Mails, Kontakte, etc.
Die ganz große Panik muss dabei zunächst nicht aufkommen, denn Apple hatte die Lücke nach einem Hinweis aus der Security-Community bereits im Mai mit der Freigabe von iOS 13.5 gestopft. Allerdings ist das AWDL-Protokoll wie gesagt nicht das erste Mal in Sachen Sicherheit unter Beschuss. Insofern bleibt zu hoffen, dass Sicherheitsforsche wie Ian Beer auch weiterhin aktiv bleiben und mit den Anbietern von Technik-Gadgets zusammenarbeiten um Lücken zu entdecken und frühzeitig zu stopfen, bevor sie von Hackern und anderen Angreifern, aber auch von Behörden großflächig ausgenutzt werden können.
Trackbacks
Keine Trackbacks
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Eswirdstiller am :
Techl am :
Was sollen die machen, die zum Beispiel ein iPhone 6 nutzen? Ein solches Sicherheitspatch sollte es auch da geben.
Sascha am :
Rico am :
Tino am :
In der Softwareentwicklung generell: Wo ein schwerer Fehler gefundene wurde, da gibt es auch mehr (und wenn nichts gefunden wurde, hat man nur nicht gr\374ndlich genug gesucht :-).