Mit dem iMessage-Fehler können Sie mit nur einer Nachricht gehackt werden
3 Minute. lesen
Veröffentlicht am
Teile diesen Artikel
Verbessern Sie diesen Leitfaden
Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter
Auf der Black-Hat-Sicherheitskonferenz in Las Vegas demonstrierte Google Project Zero-Forscherin Natalie Silvanovich interaktionslose Fehler in Apples iOS iMessage-Client, die ausgenutzt werden könnten, um die Kontrolle über das Gerät eines Benutzers zu erlangen.
Apple hat einige Patches für die Fehler veröffentlicht, muss sie aber noch alle beheben.
Diese können in die Art von Fehlern umgewandelt werden, die Code ausführen und schließlich für bewaffnete Dinge wie den Zugriff auf Ihre Daten verwendet werden können.
Das Worst-Case-Szenario ist also, dass diese Fehler verwendet werden, um Benutzern zu schaden.
Silanovich arbeitete mit Project Zero-Mitglied Samuel Groß zusammen, um zu untersuchen, ob andere Formen von Messaging, einschließlich SMS, MMS und Visual Voicemail, kompromittiert wurden. Nach dem Reverse Engineering und der Suche nach Fehlern entdeckte sie mehrere ausnutzbare Fehler in iMessage.
Als Grund wird angenommen, dass iMessage eine solche Bandbreite an Kommunikationsoptionen und Funktionen bietet, die Fehler und Schwächen wahrscheinlicher machen – z. B. Animojis, Rendern von Dateien wie Fotos und Videos und Integration mit anderen Apps, einschließlich Apple Pay, iTunes, Airbnb usw.
Ein auffälliger Fehler ohne Interaktion war einer, der es Hackern ermöglichte, Daten aus den Nachrichten eines Benutzers zu extrahieren. Der Fehler würde es dem Angreifer ermöglichen, speziell gestaltete Texte an das Ziel zu senden, beispielsweise im Austausch für den Inhalt seiner SMS-Nachrichten oder Bilder.
Während iOS normalerweise über Schutzmaßnahmen verfügt, die den Angriff blockieren würden, nutzt dieser Fehler die zugrunde liegende Logik des Systems aus, sodass die Verteidigung von iOS ihn als legitim interpretiert.
Da diese Fehler kein Eingreifen des Opfers erfordern, werden sie von Anbietern und nationalstaatlichen Hackern bevorzugt. Silanovich stellte fest, dass die gefundenen Schwachstellen auf dem Exploit-Markt potenziell mehrere zehn Millionen Dollar wert sein könnten.
Bugs wie dieser wurden schon lange nicht mehr öffentlich gemacht.
Es gibt viele zusätzliche Angriffsflächen in Programmen wie iMessage. Die einzelnen Fehler sind relativ einfach zu beheben, aber Sie können nie alle Fehler in Software finden, und jede Bibliothek, die Sie verwenden, wird zu einer Angriffsfläche. Dieses Designproblem ist also relativ schwer zu beheben.
Während sie in Android nicht auf ähnliche Fehler gestoßen ist. Sie hat sie auch in WhatsApp, Facetime und dem Videokonferenzprotokoll webRTC gefunden.
Vielleicht ist dies ein Bereich, der bei der Sicherheit übersehen wird.
Es wird viel Wert auf die Implementierung von Schutzmaßnahmen wie Kryptografie gelegt, aber es spielt keine Rolle, wie gut Ihr Krypto ist, wenn das Programm auf der Empfängerseite Fehler aufweist.
Silanovich rät Ihnen, das Betriebssystem und die Apps Ihres Telefons auf dem neuesten Stand zu halten, da Apple kürzlich alle von ihr vorgestellten iMessage-Fehler in iOS 12.4 und macOS 10.14.6 gepatcht hat.
Quelle: kabelgebunden
