[Update] Schwerwiegende Sicherheitslücken in iOS ohne Benutzerinteraktion Es wurde festgestellt, dass sie in der Apple Mail-App aktiv genutzt werden
Apple iOS, das Betriebssystem, das auf iPhones ausgeführt wird, ist anfällig für mehrere neue Sicherheitslücken. Es ist zu beachten, dass die Fehler keine Benutzerinteraktion erfordern. Die Sicherheitslücken können Berichten zufolge vollständig ausgeführt werden, ohne dass der Benutzer jemals eine Aktion ausführen, auf einen Link klicken, eine App herunterladen usw. muss. Dies ist nicht das erste Mal, dass derart schwerwiegende Fehler in iOS entdeckt wurden.
Zwei neue schwerwiegende Sicherheitslücken im Apple iOS-Betriebssystem wurden heute aufgedeckt. Anscheinend ermöglichen diese Fehler in iOS Angreifern möglicherweise den Zugriff auf ein iPhone-Gerät, auf dem iOS ausgeführt wird, ohne dass Benutzer etwas unternehmen müssen. Noch wichtiger ist, dass der remote ausgeführte Angriff auch Remote Code Execution (RCE) ermöglichen kann, einschließlich der administrativen Kontrolle über das iPhone des Opfers. Obwohl noch nicht offiziell bestätigt, werden die neu entdeckten Sicherheitslücken in freier Wildbahn ausgenutzt. Anscheinend ist sich Apple der Sicherheitslücken bewusst und wird voraussichtlich ein Update veröffentlichen, um diese zu patchen.
Apple iOS 6 über dem iPhone-Gerät, das für neu entdeckte und aktiv ausgenutzte Sicherheitslücken anfällig ist:
Die neu entdeckten Sicherheitslücken im Apple iOS-Betriebssystem ermöglichen es einem Angreifer, das Gerät des Opfers aus der Ferne zu treffen. Darüber hinaus ermöglichen die Fehler Angreifern den Zugriff auf ein iOS-Gerät ohne Benutzeraktion. Die meisten Angriffe erfordern Benutzeraktionen wie das Klicken auf einen Link, das Installieren einer Anwendung oder das Öffnen eines Dokuments, damit der Angriff beginnen kann. In diesem Fall kann der Angreifer jedoch nur E-Mails senden, die eine beträchtliche Menge an Speicher verbrauchen, und Funktionen zur Remote-Codeausführung im Gerät erhalten.
Die schwerwiegenden Sicherheitslücken in iOS ohne Benutzerinteraktion wurden von der Sicherheitsfirma ZecOps entdeckt. Die Forscher des Unternehmens behaupten, Angreifer nutzen diese Sicherheitslücken bereits in freier Wildbahn. Ohne die Ziele zu identifizieren, behaupteten die Forscher, die neu entdeckten Sicherheitslücken seien erfolgreich genutzt worden, um die folgenden Personen anzusprechen:
- Personen aus einer Fortune 500-Organisation in Nordamerika
- Eine Führungskraft von einer Fluggesellschaft in Japan
- Ein VIP aus Deutschland
- MSSPs aus Saudi-Arabien und Israel
- Ein Journalist in Europa
- Verdächtigt: Eine Führungskraft aus einem Schweizer Unternehmen
iOS ist ein vollständig geschlossenes Betriebssystem, das von Apple entwickelt wurde. Es wird streng kontrolliert und reguliert. Das Betriebssystem ist nicht so offen wie Google Android. Die neueste Version von iOS ist iOS 13. Alle Geräte mit iOS 6 und höher sind jedoch von diesen Sicherheitslücken betroffen. Sicherheitsforscher, die die Sicherheitslücken untersuchen, haben aufgezeigt, wie Angreifer ein Apple iOS mit iPhone gefährden können. In den neuesten iOS-Versionen kann der Angriff folgendermaßen ausgeführt werden:
- Angriff auf iOS 13: Angriffe ohne Unterstützung (/ Zero-Click) auf iOS 13, wenn die Mail-Anwendung im Hintergrund geöffnet wird
- Angriff auf iOS 12: Der Angriff erfordert einen Klick auf die E-Mail. Der Angriff wird vor dem Rendern des Inhalts ausgelöst. Der Benutzer wird in der E-Mail selbst nichts Ungewöhnliches bemerken
- Ununterstützte Angriffe unter iOS 12 können ausgelöst werden (auch bekannt als Zero-Click), wenn der Angreifer den Mailserver kontrolliert
Apple behebt Sicherheitslücken im kommenden Update:
Forscher behaupten, Apple sei sich dieser Sicherheitslücken in iOS bewusst. Sie fügten hinzu, dass Apple voraussichtlich ein inkrementelles Update für iOS veröffentlichen wird, das einen Fix enthält, mit dem die Sicherheitslücken behoben werden. Bis Apple ein Update veröffentlicht, können Sie jedoch vermeiden, dass Sie gezielt angegriffen oder Opfer von Sicherheitslücken werden.
Forscher raten, die Apple Mail App vollständig zu vermeiden. Es ist die E-Mail-Plattform, die von Apple entworfen, entwickelt und gewartet wird. Im Übrigen unterstützt die E-Mail-App E-Mail-Konten von Drittanbietern wie Google Mail, Outlook usw. Bis Apple ein Update zur Behebung der Fehler veröffentlicht, können sich Benutzer daher auf die Microsoft Outlook-App oder andere ähnliche E-Mail-Clients verlassen.
[Aktualisieren]Berichten zufolge hat Apple ein Update veröffentlicht, um die beiden Sicherheitslücken in der Apple Mail App zu beheben.