Sechs "Millionenlücken" gefunden
Google entdeckt: iPhone-Schwachstellen für interaktionslosen Angriff
Wer die Sicherheitsnotizen der von Apple ausgegebenen iOS-Aktualisierungen regelmäßig sichtet, stolpert in den Fußnoten der Danksagungen immer wieder über das gleiche Team. Fast alle der zuletzt veröffentlichten iOS-Updates adressierten Sicherheitslücken, die von Mitarbeitern Google-eigenen „Project Zero“ ausfindig gemacht wurden.
Das Ausnahme-Team an Programmierern, Sicherheits-Forschern und Analysten machte Apple schon häufiger auf gravierende Einfallstore aufmerksam – zuletzt haben die Google-Mitarbeiter sechs gravierende Schwachstellen ausgemacht, die am 22. Juli mit iOS 12.4 geschlossen wurden.
Hierzu liegen jetzt die ersten Details vor:
- CVE-2019-8647
- CVE-2019-8660
- CVE-2019-8662
- CVE-2019-8624
- CVE-2019-8646
- CVE-2019-8641 (Noch ohne Details)
Laut Google wäre es Angreifer möglich gewesen, die Schwachstellen per iMessage und ohne Zutun der Anwender auszunutzen.
Die für den Fund verantwortlichen Google-Mitarbeiter Natalie Silvanovich und Samuel Groß werden im Zuge der Hacker-Konferenz „Black Hat“ am 7. August detailliert über ihre Arbeit berichten und haben ihren Talk bereits hier angekündigt:
Es gab Gerüchte, dass Remote-Sicherheitslücken kursieren, die keine Benutzerinteraktion erfordern, um das iPhone anzugreifen. Es sind jedoch nur begrenzte Informationen zu den technischen Aspekten dieser Angriffe auf moderne Geräte verfügbar. In dieser Präsentation werden interaktionslose Remote-Angriffsoptionen auf iOS erläutert. Es wird das Potenzial für Sicherheitslücken in SMS, MMS, Visual Voicemail, iMessage und Mail erörtert und erläutert, wie Tools zum Testen dieser Komponenten eingerichtet werden können. Zudem enthält der Talk zwei Beispiele für Schwachstellen, die mit diesen Methoden entdeckt wurden.
In der Zwischenzeit solltet ihr iOS 12.4 (falls noch nicht geschehen) definitiv installieren – in den Detail-Informationen zu den gefunden Schachstellen haben Silvanovich und Groß nämlich auch Beispiel-Code veröffentlicht, der den Bau von Angriffswerkzeugen durch Dritte wahrscheinlicher macht.
Auf dem Schwarzmarkt für entsprechende Sicherheitslücken hätten die beiden Forscher nach Einschätzungen des Fachdienstes Zerodium bis zu 1 Mio. pro Fund abgreifen können.