Israelische Spähsoftware knackt iMessage
iOS 14 weiterhin verwundbar: Ein Update muss noch kommen
Wer davon ausgegangen war, dass die am 26. Juli veröffentlichte iOS-Version 14.7.1 das letzte Update des aktuellen Mobil-Betriebssystems vor der Ausgabe von iOS 15 sein würde, kann sich von seinem Wetteinsatz verabschieden. Apple steht unter Zugzwang ein weiteres Punkt-Update für die aktuelle Systemversion zu veröffentlichen. Denn: Auch Version 14.7.1 soll weiterhin verwundbar für sogenannte Zero-Click-Angriffe sein, bei denen die Geräte-Übernahme ohne Mitwirken des iPhone-Besitzers möglich ist.
Relatedly, it’s been over a week and Apple still hasn’t said if it has, or plans to fix a zero-day flaw in iOS 14, built by NSO Group to allow authoritarian states to hack into iPhones of journalists and human rights defenders.
Crickets. Nada. Nothing.https://t.co/7CP8Rr1lD6
— Zack Whittaker (@zackwhittaker) September 3, 2021
Anders formuliert: Betroffene Anwender müssen weder bestimmte Webseiten besuchen, noch Dateianhänge öffnen – Angreifer können die Geräte bereits durch das Zustellen einer iMessage-Kurznachrichten übernehmen und aus der Ferne steuern.
Zusatz-Schutz BlastDoor überrumpelt
Besonders signifikant ist, dass der iPhone-Angriff, der einmal mehr der israelischen NSO-Group zugeschrieben wird, Apples jüngste Schutzmaßnahmen umgehen kann, die spezifisch dafür implementiert wurden, Geräteübernahmen über iMessage zu verhindern. Apple-intern mit dem Spitznamen „BlastDoor“ versehen, waren diese in iOS 14 integriert worden, nachdem die Spionagesoftware Pegasus in freier Wildbahn aufgetaucht war.
Auch diese nutzte eine iMessage-Schwachstelle aus, um zielgerichtete Spionage-Angiffe auf ausgewählte Personen zu fahren. Im Fall Pegasus waren vor allem Menschenrechtler, politische Aktivisten und Journalisten betroffen.
Abermals von israelischer NSO-Group
Gegenüber dem Online-Portal Techcrunch wollte sich Apple nicht dazu äußern ob man die jüngste Schwachstelle im Code des iOS-Betriebssystems bereits habe ausfindig machen können.
Ein Apple-Sprecher gab lediglich an, dass man auch unter iOS 15 daran arbeiten werde, die Sicherheit des Betriebssystems kontinuierlich zu verbessern und BlastDoor nicht die letzte Maßnahme gewesen sei, iMessage besser gegen Angriffe von außen zu schützen.
Zum Nachlesen:
- Pegasus: Auf dem iPhone öffneten Apple Music und iMessage das System
- Pegasus-Schwachstelle: Sicherheitsforscher kritisieren Apple
- iPhone 12 Pro wird Ziel von Pegasus-Attacke
Die Angriffe erfolgen also immer über iMessage ?
Kann man den Empfang von Nachrichten via iMessage denn eigentlich deaktivieren OHNE das man telefonisch nicht erreichbar ist ?
Mal so in die Runde geworfen und nein ich bin weder Aluhutträger noch so interessant das mich der MOSSAD & Co ausspionieren müssen.
Viel Ahnung vom iPhone hast du anscheinend nicht und zu faul, mal in die Einstellungen zu gucken obendrein.
Du bist ja ein ganz sympathischer Kollege. Hoffe du brauchst nie meine Hilfe.
Du kannst unter Einstellungen – Nachrichten imessage deaktivieren. Ob das einen Angriff verhindern kann weiß ich nicht..
iMessage Off, Dienst Off also ja.
Im Prinzip sollte schon gar keine MSG mehr vom Sender gesendet werden können (Taste wird grün statt blau)
aber selbst wenn der Server noch eine Nachricht bekommt sollte er die nicht raus senden, weil von Dienst abgemeldet..
Wenn wenn der Server sie raus sendet sollte das Gerät (iPhone, iPad, Mac) nicht auf den Port reagieren weil der Dienst (local) nicht mehr läuft.
Hat jemand noch ein jailbreak auf seinem Gerät ps -aux würde das uns verraten.
Dann wird sich Pegasus in Zukunft einfach des Bilderscanners bemächtigen und alles fängt von vorne an. Das Türchen ist noch nicht geöffnet, aber schon da…
Kein Geheimdienst der Welt braucht den lächerlichen Hash Scan. Informiere dich mal wo die überall Zugriff haben. Da gibt es kein entkommen.
Aluhutalarm
Totschlagargumentalarm. Gähn
At boehser onkel
Die Kombination ist doch charmant.
Erst mit Hash-werten prüfen, ob oppositionelle Daten auf dem Rechner sind, dann erst mit dem teuren Werkzeug in einzelfällen in’s handyschauen.
Oder noch subtiler, durch die Sicherheitslöcher ein KiPo Bild hochladen, um dann den bösen Oppositionellen mit dem Hash-Wert dingfest zu machen.
Wenn man über Pegasus Zugriff erlangt braucht man keinen HashScan mehr von Apple. Wenn man die Daten hat, kann man sich die Hashes jederzeit selbst errechnen und – Achtung Zaubereffekt – mit viel mehr Hashlisten vergleichen als es bei Apple vorgesehen ist. Ja nahezu mit jeder selbst erstellten Hashliste.
Apples geplante Funktion wird dafür nicht genutzt. Das macht keinen Sinn, weil man dies nicht zu 100% unter der eigenen Kontrolle hätte.
Bißchen Mitdenken darf man ja wohl erwarten…
Würde es denn nicht einfach reichen, wenn man iMessage deaktiviert temporär bis diese Sicherheitslücke geschlossen ist?
Würde ich auch gerne wissen. Hab es seitdem deaktiviert. Eh seltenst benutzt.
Wie deaktiviert man das ?
Telefon ausschalten
Gehe auf Einstellungen, dann auf Nachrichten, dann iMessage deaktivieren.
Ich frage mich, sind diese israelischen Hacker wirklich so gut, dass sie ständig neue Schwachstellen finden oder haben die informierte Quellen innerhalb Apples?
Vielleicht sind es Ex-Appler, mit einer Null mehr im Monatsverdienst, da wird ja jeder schwach
Dann wüsste Apple doch Bescheid über die Lücken… Das würde ja eher heißen, dass ein Apple Mitarbeiter die Lücken bewusst rein gemacht hat oder die Lücken gefunden und nicht gemeldet hat. Und das denke ich eher nicht.
Oder das Management zugunsten von neuen Micky Mouse Funktionen, die auf der Key Note toll aussehen, die Prioritäten anders festlegt. In der Hoffnung dass niemand die Lücken findet und öffentlich macht. Und wenn schon, den Fanboy interessiert es ohne nicht, Hauptsache neue Funktionen und einmal im Jahr ein neues Gerät damit man auf dem Schulhof ganz weit vorne ist.
Falsche Prioritäten? Ja ne, is klar… Es gibt KEINE Software die jemals zu 100% sicher ist!!!
Aber ja, Apple müsste schneller reagieren und Meldungen von White-Hat Hackern ernster nehmen.
Ebenso ein ordentliches Bug-Bounty anbieten sowie offen und transparent kommunizieren!
Warum soll Software nicht sicher sein?
Also als Laie verstehe ich das vielleicht nicht ganz.
Wo sind denn ihrer Meinung nach die Schwachstellen?
100 % Zustimmung. Software ist nie vollständig sicher oder fehlerfrei. Es gibt mindestens immer Szenarien, an die der Programmierer nicht gedacht hat.
In Racing conditions, in Stack-Overflows, in Protokollen, in… unzähligen weiteren Möglichkeiten.
Es ist nicht wirklich schwer, erfordert nur Geduld, gute Tools, und ein bisschen programmiererischen Background.
@brotpit
Es gibt eine guten Markt auf dem Schwachstellen gehandelt werden. Meist von „freien Hackern“ die Schwachstellen lieber weiterverkaufen als der Allgemeinheit zu Gute kommen lassen.
Ja, das ist das Problem ist, dass es dort meist lukrativer ist als über Bug-Bounty – Wenn es das denn bei den Herstellern überhaupt überall gibt… :-(
Israel ist auf dem IT-Sektor generell richtig gut aufgestellt. Wenn man wenig Rohstoffe hat, muss man andere Wirtschaftszweige finden, IT bietet sich als eine Lösung an. Israel hat viele sehr gute ITler und ist Europa in dieser Beziehung weit voraus und spielen in der Liga von USA & China. Dazu haben sie historisch bedingt ein anderes Verhältnis zu Geheimdiensten, wie z.B. Deutschland bzw. Europa.
Ergänzung: Tesla hat z.b. Israelische IT-Technik gekauft und eingebaut. Intel hat wichtige ChipDesignTeams in Israel.
Hab ein nutzloses iphone x in der Schublade, daß kein Netz mehr findet. Scheint für Apple ok zu sein, weil außerhalb der Gewährleistung..
Mußte auf mein altes 6s mit ios 12 umsteigen..
Ein Update wäre schon fällig, wer weiß wie buggy ios15 sein wird, wahrscheinlich auch unbrauchbar..
Aha… XD
Gab es auch schon mal beim 7er, dass ein Update das Handy zum telefonieren unbrauchbar machte
6s sollte auch auf das aktuellste iOS updatebar sein. Nur das 6/6+ ist an 12.5.x als derzeit maximale Version gebunden.
Puh, noch so ein ding. Mal schauen, ob Apple hierzu ebenso viel zu sagen hat wie zu Pegasus. Nicht.
Sowas wie Pegasus zeigt mir einfach wie fehlerhaft Apple’s Software ist… wer weiß, was es noch alles an Schwachstellen gibt?! Anstatt ständig neue Features und Design Änderung rauszubringen, sollte Apple sich erst mal um die ganzen Schwachstellen und Bugs kümmern bevor noch mehr dazu kommen…
Man muss sich als Unternehmen aber ebenso um NEUE Funktionen kümmern!!!
Man merkt, dass du keine Ahnung hast…
Tatsachen sind Tatsachen. Spielt überhaupt keine Rolle, ob jemand davon Ahnung hat oder nicht.
Niemand weiß wie viele Schwachstellen es noch gibt. Schlimmer noch: niemand KANN wissen, wie viele es noch gibt. Softwaresysteme sind schon seit geraumer Zeit dermaßen komplex, dass es kein modernes fehlerfreies System geben kann. Unternehmen treiben irren Aufwand, um Fehler zu verhindern oder zumindest selbst zu finden, bevor Software released wird. Aber bei der Komplexität keine Chance.
Eine Fehlerdichte von 1 Fehler auf 1000 Codezeilen ist schon ziemlich gut. Kritische Systeme schaffen 0,5/1000. Bei 10 Millionen Codezeilen sind das mindestens 5000 Fehler. Und da werden mit Sicherheit auch ein paar Sicherheitslücken dabei sein.
Bringt also nix rumzumotzen. Man muss das wissen, akzeptieren und sein Leben danach einrichten. Ist wie mit dem Wetter…
++++
>>Anstatt ständig neue Features und Design Änderung rauszubringen, sollte Apple sich erst mal um die ganzen Schwachstellen und Bugs kümmern bevor noch mehr dazu kommen…<<
Das war doch damals Apples Begründung, warum man den 32-Bit support einstellte…
…aber da war’s wohl genauso wie beim angeblichen Umweltschutz für’s Netzteil nur Marketing um die Gewinnspannen zu erhöhen.
iOS wird immer verwundbar bleiben. Wie jede andere Software auch.
Es gibt keine 100% sichere Software.
+1111
Ich hätte lieber ein Update was den Empfang wieder besser macht… ich hasse E!!! Bin mir darf übrigens jeder gucken… is mir Latte…
Hmm… ob Apple mit nem Update das von den Providern abgeschaltete 3G Netz wieder aktivieren kann, da hab ich so meine Zweifel!
Das ist echt der beste Kommentar. Jetzt ist Apple schon Schuld an Abschaltungen durch Telekom-Provider. Unglaublich … dumm