Apple iOS-Sicherheitslücken im iPhone „Zero Interaction“, die von Google-Sicherheitsforschern aus Project Zero entdeckt und vorgeführt wurden
Apple iOS, das Standardbetriebssystem für alle iPhones, enthielt sechs kritische Sicherheitslücken („Zero Interaction“). Das Elite-Team "Project Zero" von Google, das nach schwerwiegenden Fehlern und Softwarefehlern sucht, hat dasselbe entdeckt. Interessanterweise hat das Sicherheitsforschungsteam von Google auch die Aktionen erfolgreich repliziert, die mithilfe von Sicherheitslücken in freier Wildbahn ausgeführt werden können. Diese Fehler können möglicherweise jedem Remoteangreifer ermöglichen, die administrative Kontrolle über das Apple iPhone zu übernehmen, ohne dass der Benutzer etwas anderes tun muss, als eine Nachricht zu empfangen und zu öffnen.
Es wurde festgestellt, dass Apple iPhone-Betriebssystemversionen vor iOS 12.4 anfällig für sechs „interaktionslose“ Sicherheitsfehler sind, entdeckte Google. Zwei Mitglieder des Google Project Zero haben Details veröffentlicht und sogar erfolgreich Proof-of-Concept für fünf der sechs Sicherheitslücken demonstriert. Die Sicherheitslücken können als schwerwiegend angesehen werden, da sie die geringste Anzahl von Aktionen erfordern, die das potenzielle Opfer ausführt, um die Sicherheit des iPhones zu gefährden. Die Sicherheitslücke wirkt sich auf das iOS-Betriebssystem aus und kann über den iMessage-Client ausgenutzt werden.
Google befolgt "Verantwortungsbewusste Praktiken" und informiert Apple über die schwerwiegenden Sicherheitslücken in iPhone iOS:
Google wird auf der Black Hat-Sicherheitskonferenz in Las Vegas nächste Woche Details zu den Sicherheitslücken im Apple iPhone iOS bekannt geben. Der Suchriese behielt jedoch seine verantwortungsvolle Praxis bei, die jeweiligen Unternehmen über Sicherheitslücken oder Hintertüren zu informieren, und meldete die Probleme zunächst an Apple, damit Patches herausgegeben werden konnten, bevor das Team die Details öffentlich bekannt gab.
Apple nahm die schwerwiegenden Sicherheitslücken zur Kenntnis und beeilte sich Berichten zufolge, die Fehler zu beheben. Möglicherweise ist dies jedoch nicht vollständig gelungen. Details zu einer der "interaktionslosen" Sicherheitslücken wurden geheim gehalten, da Apple den Fehler nicht vollständig behoben hat. Die Informationen dazu wurden von Natalie Silvanovich angeboten, einer der beiden Google Project Zero-Forscher, die die Fehler gefunden und gemeldet haben.
Der Forscher stellte außerdem fest, dass vier der sechs Sicherheitslücken zur Ausführung von Schadcode auf einem entfernten iOS-Gerät führen könnten. Noch besorgniserregender ist die Tatsache, dass diese Fehler keine Benutzerinteraktion erforderten. Die Angreifer müssen lediglich eine speziell codierte fehlerhafte Nachricht an das Telefon eines Opfers senden. Der Schadcode kann sich dann leicht selbst ausführen, nachdem der Benutzer die Nachricht geöffnet hat, um das empfangene Element anzuzeigen. Die beiden anderen Exploits können es einem Angreifer ermöglichen, Daten aus dem Speicher eines Geräts zu verlieren und Dateien von einem Remote-Gerät zu lesen. Überraschenderweise brauchten selbst diese Fehler keine Benutzerinteraktion.
Apple konnte nur fünf der sechs Sicherheitslücken "Zero Interaction" in iPhone iOS erfolgreich patchen?
Alle sechs Sicherheitslücken sollten letzte Woche, am 22. Juli, mit Apples iOS 12.4-Version erfolgreich behoben worden sein. Dies scheint jedoch nicht der Fall zu sein. Der Sicherheitsforscher hat festgestellt, dass Apple nur fünf der sechs Sicherheitslücken „Zero Interaction“ im iPhone iOS behoben hat. Details zu den fünf gepatchten Fehlern sind jedoch online verfügbar. Google hat dasselbe über sein Fehlermeldesystem angeboten.
Die drei Fehler, die die Fernausführung ermöglichten und die administrative Kontrolle über das iPhone des Opfers ermöglichten, sind CVE-2019-8647, CVE-2019-8660 und CVE-2019-8662. Die verknüpften Fehlerberichte enthalten nicht nur technische Details zu jedem Fehler, sondern auch Proof-of-Concept-Code, mit dem Exploits erstellt werden können. Da Apple den vierten Fehler aus dieser Kategorie nicht erfolgreich beheben konnte, wurden Details desselben vertraulich behandelt. Google hat diese Sicherheitslücke als CVE-2019-8641 gekennzeichnet.
Google hat den fünften und sechsten Fehler als CVE-2019-8624 und CVE-2019-8646 markiert. Diese Sicherheitslücken können es einem Angreifer möglicherweise ermöglichen, auf die privaten Informationen des Opfers zuzugreifen. Diese sind besonders besorgniserregend, da sie Daten aus dem Speicher eines Geräts verlieren und Dateien von einem Remote-Gerät lesen können, ohne dass das Opfer interagieren muss.
Mit iOS 12.4 hat Apple möglicherweise alle Versuche zur Fernsteuerung von iPhones über die anfällige iMessage-Plattform erfolgreich blockiert. Das Vorhandensein und die offene Verfügbarkeit von Proof-of-Concept-Code bedeuten jedoch, dass Hacker oder böswillige Codierer weiterhin iPhones ausnutzen können, die nicht auf iOS 12.4 aktualisiert wurden. Mit anderen Worten, während es immer empfohlen wird, Sicherheitsupdates zu installieren, sobald sie verfügbar sind, ist es in diesem Fall wichtig, das neueste iOS-Update, das Apple veröffentlicht hat, unverzüglich zu installieren. Viele Hacker versuchen, Schwachstellen auszunutzen, selbst nachdem sie gepatcht oder behoben wurden. Dies liegt daran, dass sie sich bewusst sind, dass es einen hohen Prozentsatz von Gerätebesitzern gibt, die nicht sofort aktualisieren oder die Aktualisierung ihrer Geräte einfach verzögern.
Schwerwiegende Sicherheitslücken in iPhone iOS sind ziemlich lukrativ und belohnen das dunkle Web finanziell:
Die sechs Sicherheitslücken von „Zero Interaction“ wurden von Silvanovich und seinem Kollegen Samuel Groß, einem Sicherheitsforscher von Google Project Zero, entdeckt. Silvanovich wird auf der Black Hat-Sicherheitskonferenz, die nächste Woche in Las Vegas stattfinden soll, eine Präsentation über Remote- und "Interactionless" iPhone-Schwachstellen halten.
‘Keine Interaktion' oder 'reibungslosSicherheitslücken sind besonders gefährlich und geben Sicherheitsexperten Anlass zu großer Sorge. Ein kleiner Ausschnitt aus dem Vortrag, den Silvanovich auf der Konferenz halten wird, hebt die Bedenken hinsichtlich solcher Sicherheitslücken im iPhone iOS hervor. „Es gab Gerüchte über Remote-Schwachstellen, bei denen keine Benutzerinteraktion zum Angriff auf das iPhone erforderlich ist. Über die technischen Aspekte dieser Angriffe auf moderne Geräte sind jedoch nur begrenzte Informationen verfügbar. In dieser Präsentation wird die entfernte, interaktionsfreie Angriffsfläche von iOS untersucht. Es wird das Potenzial für Schwachstellen in SMS, MMS, Visual Voicemail, iMessage und Mail erläutert und das Einrichten von Tools zum Testen dieser Komponenten erläutert. Es enthält auch zwei Beispiele für Schwachstellen, die mit diesen Methoden entdeckt wurden. “
Die Präsentation wird eine der beliebtesten auf dem Kongress sein, vor allem, weil iOS-Fehler ohne Benutzerinteraktion sehr selten sind. Die meisten iOS- und MacOS-Exploits beruhen darauf, dass das Opfer erfolgreich dazu gebracht wird, eine App auszuführen oder seine Apple ID-Anmeldeinformationen preiszugeben. Ein Fehler ohne Interaktion erfordert nur das Öffnen einer fehlerhaften Nachricht, um den Exploit zu starten. Dies erhöht die Wahrscheinlichkeit einer Infektion oder eines Sicherheitskompromisses erheblich. Die meisten Smartphone-Benutzer haben nur eine begrenzte Bildschirmfläche und öffnen am Ende Nachrichten, um deren Inhalt zu überprüfen. Eine geschickt gestaltete und gut formulierte Botschaft erhöht oft exponentiell die wahrgenommene Authentizität und erhöht die Erfolgschancen weiter.
Silvanovich erwähnte, dass solche schädlichen Nachrichten per SMS, MMS, iMessage, Mail oder sogar Visual Voicemail gesendet werden könnten. Sie mussten nur im Telefon des Opfers landen und geöffnet werden. "Solche Sicherheitslücken sind der heilige Gral eines Angreifers und ermöglichen es ihm, unentdeckt in die Geräte der Opfer zu hacken." Übrigens wurde festgestellt, dass solche minimalen oder „Zero Interaction“ -Sicherheitslücken bis heute nur von Exploit-Anbietern und Herstellern von Legal Intercept-Tools und Überwachungssoftware genutzt wurden. Das bedeutet einfach so hochentwickelte Bugs Die geringsten Verdächtigungen werden hauptsächlich von Softwareanbietern entdeckt und gehandelt, die im Dark Web tätig sind. Nur staatlich geförderte und fokussierte Hacking-Gruppen haben in der Regel Zugriff darauf. Dies liegt daran, dass Anbieter, die solche Mängel feststellen, diese für riesige Geldsummen verkaufen.
Laut einer von Zerodium veröffentlichten Preisliste könnten solche Schwachstellen, die im Dark Web oder auf dem Software-Schwarzmarkt verkauft werden, jeweils über 1 Million US-Dollar kosten. Dies bedeutet, dass Silvanovich möglicherweise Details zu Sicherheits-Exploits veröffentlicht hat, die illegale Softwareanbieter möglicherweise zwischen 5 und 10 Millionen US-Dollar in Rechnung gestellt haben. Crowdfense, eine andere Plattform, die mit Sicherheitsinformationen arbeitet, behauptet, der Preis hätte leicht viel höher sein können. Die Plattform stützt ihre Annahmen auf die Tatsache, dass diese Mängel Teil von „No-Click-Angriffskette”. Darüber hinaus haben die Sicherheitslücken bei neueren Versionen von iOS-Exploits funktioniert. In Kombination mit der Tatsache, dass es sechs davon gab, hätte ein Exploit-Anbieter leicht mehr als 20 Millionen US-Dollar für das Los verdienen können.