Home » iOS » iOS 6: Sicherheitslücke in Safari entdeckt

iOS 6: Sicherheitslücke in Safari entdeckt

Gestern veröffentlichte Apple mit iOS die neueste Version des hauseigenen mobilen Betriebssystem. Das Update wird generell gut angenommen, allerdings tauchte auch schon eine erste Sicherheitslücke auf. Niederländischen Hackern gelang es auf dem Pwn2Own Contest in Amsterdam, über eine Lücke im iOS-Browser Safari Zugriff auf private Daten zu erhalten.

Webkit-Schwäche ausgenutzt

Der Hack nutzt eine Schwäche im Webkit von Safari aus, um einen sogenannten Drive-By-Download zu starten. Dabei wird das iPhone allein dadurch infiziert, dass man mit Safari auf eine entsprechend präparierte Webseite surft. Dadurch erlangten die Hacker Zugriff auf das Adressbuch, die Fotos und Videos sowie die History des Browsers des gehackten iPhones Die E-Mails und SMS auf dem betroffenen iPhone sind allerdings vor dem Hack sicher. iOS 6 selber wurde dabei derart beeinträchtigt, dass in Folge viele kleine Bugs auftraten.

Die beiden niederländischen Hacker Joost Pol und Daan Keuper benötigten drei Wochen, um den Hack zu programmieren. Sie verwendeten dabei eine Golden Master von iOS 6, die auf einem  iPhone 4S installiert war. Allerdings testeten sie den Hack auf dem iPhone 4, dem neuen iPad und de iPod touch. Sie sind überzeugt davon, dass auch das iPhone 5 diese Schwachstelle aufweist, schließlich handelt es sich um die Ausnutzung eines reinen Software-Exploits.

Die beiden niederländischen Hacker belegten mit dem Hack den ersten Platz des Pwn2Own Contest und erhielten 30.000 € Preisgeld.

iPhone dennoch das sicherste Smartphone

Trotz der Tatsache, dass sie gerade einen Hack für iOS 6 entwickelt haben, der in den falschen Händen großen Schaden anrichten könnte, bezeichneten die beiden Hacker das Iphone als das sicherste Smartphone. Joost Pol verglich in einem Interview das iPhone mit den Blackberry-Modellen von RIM:

Even the BlackBerry doesn't have all the security features that the iPhone has. For example, BlackBerry also uses WebKit but they use an ancient version. With code signing, the sandbox, ASLR and DEP, the iPhone is much, much harder to exploit.

Laut Pol ist das iPhone also sogar schwerer zu hacken als die Bleckberrys. Allerdings sagte er auch, dass Googles Android ebenfalls sicherer sei als Blackberry. Eine Behauptung, denen wohl viele andere Sicherheitsexperten widersprechen würden. Pol sagte weiterhin:

We really wanted to show that it is possible, limited time, with limited resources, to exploit the hardest target. That's the big message. No one should be doing anything of value on their mobile phone.

Die beiden Hacker wollten zeigen, dass es möglich ist, in kurzer Zeit mit limitierten Ressourcen das schwerste Ziel zu knacken. Dies zeigt, dass man sensible Daten nicht auf dem Smartphone lagern sollte. Das schließt auch E-Mail-Verkehr mit ein.

Direkt nach dem Contest wurde der Hack von den beiden Programmierern zerstört und die Informationen über die Sicherheitslücke sowie Proof of Concept an Apple weitergeleitet. Man darf also davon ausgehen, dass die Lücke mit dem ersten iOS 6 Update geschlossen werden wird.

(via ZDNet)

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.


6 Kommentare

  1. Für das Melden bei Apple gehört beiden ein neues iphone geschenkt, diese Schwachstelle hätte großen Schaden anrichten können .

  2. Da stimme ich zu!
    Ein neues iPhone für beide ist echt ein mindestlohn!!!

  3. Da sieht man mal wieder, dass man alles hacken kann! Mit etwas Zeit und natürlich dem Wissen kann man sogar das „unbezwingabere“ revolutionäre iPhone bzw. das iOS 6 hacken! Dann sollte Apple sich mal schleunigst an das Update für iOS 6 machen! (iOS 6.1)

  4. Nun, sie haben €30.000 bekommen, damit ließe sich das eine oder ander iPhone beschaffen #denkz

  5. Ich sehe das weniger als Problem!!
    Apple kann doch, wie bei den Apps auch, alle Seiten die ich besuchen darf bestimmen.(Sarkasmus)

  6. Hm, wäre mit diesem Exploit ein neues Jailbreakme möglich?