Der IT-Sicherheitsexperte Charlie Miller entdeckte eine Sicherheitslücke bei iOS-Apps auf Apple-Produkten. Diese ermöglicht einen Angriff mit Hilfe harmloser Anwendungen, über die Schad-Software nachgeladen werden kann. Nachdem er auf die Sicherheitslücke hinwies, wurde Miller von Apple ausgesperrt.
Die von Miller entdeckte Sicherheitslücke läßt es zu, daß jede entsprechend vorbereitete Anwendung nachträglich in Schad-Software umgewandelt werden kann. Dies ist möglich, da eine App als harmlose Variante hochgeladen werden kann, auch wenn sie zugleich eine Routine enthält, die eine Aktualisierung mit Schad-Software zuläßt. So kann eine solche App zunächst als "Schläfer" ohne Nutzung der schädlichen Funktion gehandhabt werden, bis sie weit verbreitet ist, um sie sodann mit großem Nutzen in Schad-Software umzuwandeln. In einem solchen Fall könnten etwa die Daten einer Vielzahl von betroffenen iPhone und iPad-NutzerInnen gestohlen werden.
Die Sicherheitslücke besteht darin, daß eine App auf eine bestimmte iOS-Funktion zugreifen kann, die eigentlich dazu dient, Javascript für Safari zu beschleunigen. Zwar schützt Apple diese Funktion, doch Miller fand eine Möglichkeit, diesen Schutz zu umgehen.
Nachdem Miller dem App Store die Informationen über die Sicherheitslücke zukommen ließ, sprach Apple gegenüber Miller eine einjährige App-Store-Sperre aus und sperrte dessen Entwicklerzugang. Miller hatte schon öfter Sicherheitsprobleme bei Apple-Produkten entdeckt und sich damit anscheinend nicht beliebt gemacht. So berichtete etwa BBC bereits vor zwei Jahren, daß Miller Sicherheitslücken in Apples Software entdeckt hatte. Im übrigen besteht der begründete Verdacht, daß US-Konzerne wie Apple und Microsoft dem US-Geheimdienst CIA in Geheimverträgen zugesichert haben, in alle ihre Produkte entsprechende "Hintertürchen" einzubauen.
IT-SicherheitsexpertInnen, die damit rechnen müssen, für - wohlgemerkt interne - Sicherheitswarnungen, bestraft zu werden, haben sicherlich wenig Interesse, Sicherheitslücken aufzudecken. Miller scheint sich jedoch nicht beeindrucken zu lassen und hat angekündigt, in der kommenden Woche auf der Sicherheitskonferenz Syscan in Taiwan weitere Informationen zu der Sicherheitslücke bei Apple zu veröffentlichen.
Anmerkungen
Siehe auch unsere Artikel:
Daten-Skandal
Schnüffel-Software in Apples iPhone (21.04.11)
Big Brother Award 2011 für
Facebook, Apple und Daimler (1.04.11)