Forscher enthüllen eine neue Reihe von interaktionslosen iOS-Angriffen

Forscher von Googles Project Zero, das mit der Fehlersuche in Software beauftragt ist, haben eine Handvoll iOS-Angriffe entdeckt.

ZDNet hat den Bericht diese Woche. Einige Mitglieder von Project Zero konnten sechs Sicherheitslücken im Zusammenhang mit iOS identifizieren. Fünf der sechs haben bereits Proof-of-Concept-Code veröffentlicht, zusammen mit Demos zu deren Funktionsweise. Insbesondere stellen die Forscher fest, dass diese Exploits über den iMessage-Client gehandhabt werden könnten.

Die gute Nachricht ist jedoch, dass alle sechs Exploits bereits mit dem öffentlichen Start von iOS 12.4 gepatcht wurden. Während diese neuesten Sicherheitsprobleme bereits behoben wurden und ihre Wirksamkeit erheblich beeinträchtigen, ist es wichtig, stets auf dem neuesten Stand der von Ihnen täglich verwendeten Software zu sein.

Es ist erwähnenswert, dass einer der Fehler in diesem Fall (zumindest für den Moment) immer noch unter Verschluss gehalten wird, da iOS 12.4 zwar alle sechs gepatcht hat, einer der Fehler jedoch nicht vollständig behoben wurde, zumindest laut Natalie Silvanovich. einer der Forscher, die die Fehler entdeckt haben. Samuel Groß ist der andere Forscher, der die Bugs entdeckt hat.

Laut dem Forscher können vier der sechs Sicherheitslücken zur Ausführung von Schadcode auf einem entfernten iOS-Gerät führen, ohne dass eine Benutzerinteraktion erforderlich ist. Ein Angreifer muss lediglich eine fehlerhafte Nachricht an das Telefon eines Opfers senden. Der schädliche Code wird ausgeführt, sobald der Benutzer das empfangene Objekt öffnet und anzeigt.

Die vier Fehler sind CVE-2019-8641 (Details werden geheim gehalten), CVE-2019-8647, CVE-2019-8660 und CVE-2019-8662. Die verknüpften Fehlerberichte enthalten technische Details zu jedem Fehler, aber auch Proof-of-Concept-Code, mit dem Exploits erstellt werden können.

Der fünfte und sechste Fehler, CVE-2019-8624 und CVE-2019-8646, können es einem Angreifer ermöglichen, Daten aus dem Gerätespeicher zu verlieren und Dateien von einem entfernten Gerät zu lesen - auch ohne Benutzerinteraktion.

Die Fehlersuche kann zu lukrativen Auszahlungen führen. Wie im Originalbericht bereits erwähnt, können diese Arten von Sicherheitslücken für den Forscher weit über 1 Million US-Dollar kosten. Daher ist es wahrscheinlich, dass dieser Pool an Sicherheitsproblemen mehr als 5 Millionen US-Dollar eingebracht hätte, aber auch einen Wert von bis zu 24 Millionen US-Dollar gehabt hätte, wenn man bedenkt, dass sie mit den neuesten Versionen von iOS funktionierten.

Grundsätzlich sollten Sie ein Upgrade auf iOS 12.4 so bald wie möglich durchführen, sofern dies noch nicht geschehen ist.