9.11.2011

Sicherheitslücke bei Apple entdeckt
IT-Sicherheitsexperte ausgesperrt

Apfel mit Made Der IT-Sicherheitsexperte Charlie Miller entdeckte eine Sicherheitslücke bei iOS-Apps auf Apple-Produkten. Diese ermöglicht einen Angriff mit Hilfe harmloser Anwendungen, über die Schad-Software nachgeladen werden kann. Nachdem er auf die Sicherheitslücke hinwies, wurde Miller von Apple ausgesperrt.

Die von Miller entdeckte Sicherheitslücke läßt es zu, daß jede entsprechend vorbereitete Anwendung nachträglich in Schad-Software umgewandelt werden kann. Dies ist möglich, da eine App als harmlose Variante hochgeladen werden kann, auch wenn sie zugleich eine Routine enthält, die eine Aktualisierung mit Schad-Software zuläßt. So kann eine solche App zunächst als "Schläfer" ohne Nutzung der schädlichen Funktion gehandhabt werden, bis sie weit verbreitet ist, um sie sodann mit großem Nutzen in Schad-Software umzuwandeln. In einem solchen Fall könnten etwa die Daten einer Vielzahl von betroffenen iPhone und iPad-NutzerInnen gestohlen werden.

Die Sicherheitslücke besteht darin, daß eine App auf eine bestimmte iOS-Funktion zugreifen kann, die eigentlich dazu dient, Javascript für Safari zu beschleunigen. Zwar schützt Apple diese Funktion, doch Miller fand eine Möglichkeit, diesen Schutz zu umgehen.

Nachdem Miller dem App Store die Informationen über die Sicherheitslücke zukommen ließ, sprach Apple gegenüber Miller eine einjährige App-Store-Sperre aus und sperrte dessen Entwicklerzugang. Miller hatte schon öfter Sicherheitsprobleme bei Apple-Produkten entdeckt und sich damit anscheinend nicht beliebt gemacht. So berichtete etwa BBC bereits vor zwei Jahren, daß Miller Sicherheitslücken in Apples Software entdeckt hatte. Im übrigen besteht der begründete Verdacht, daß US-Konzerne wie Apple und Microsoft dem US-Geheimdienst CIA in Geheimverträgen zugesichert haben, in alle ihre Produkte entsprechende "Hintertürchen" einzubauen.

IT-SicherheitsexpertInnen, die damit rechnen müssen, für - wohlgemerkt interne - Sicherheitswarnungen, bestraft zu werden, haben sicherlich wenig Interesse, Sicherheitslücken aufzudecken. Miller scheint sich jedoch nicht beeindrucken zu lassen und hat angekündigt, in der kommenden Woche auf der Sicherheitskonferenz Syscan in Taiwan weitere Informationen zu der Sicherheitslücke bei Apple zu veröffentlichen.

 

REGENBOGEN NACHRICHTEN

 

Anmerkungen

Siehe auch unsere Artikel:

      Daten-Skandal
      Schnüffel-Software in Apples iPhone (21.04.11)

      Big Brother Award 2011 für
      Facebook, Apple und Daimler (1.04.11)

 

neuronales Netzwerk