...
Life hacks, handige tips, aanbevelingen. Artikelen voor mannen en vrouwen. We schrijven over technologie, en over alles wat interessant is.
ComputersSicherheit

Apples Schwachstelle. Versteckte iPhone-Schwachstelle, die das Unternehmen immer noch nicht beheben kann

3

Nach einem weiteren Zero-Click-Angriff begannen Experten für Informationssicherheit zu sagen, dass es an der Zeit sei, extreme Maßnahmen in Bezug auf die Sicherheit von iMessage-Benutzern zu ergreifen.

Schockierende Neuigkeiten: Die bahrainische Regierung erwarb auf dem Schwarzmarkt ausgeklügelte Malware und setzte sie gegen Menschenrechtsverteidiger ein, Spionagetools, bei denen das Opfer nichts tun musste – weder auf Links klicken noch Berechtigungen erteilen. Diese Tools ermöglichten es, die iPhones der Opfer in Sekundenschnelle vollständig zu übernehmen. Doch so beunruhigend der wöchentliche Bericht des Citizens Laboratory der University of Toronto war, diese Situation scheint nicht länger seltsam zu sein.

Ein Zero-Click- Angriff ist ein Remote-Angriff auf ein Gerät, der keine zusätzliche Aktion des Benutzers erfordert. Es genügt einem Angreifer, eine böswillige SMS zu versenden oder einfach zu warten, bis sich das Gerät in Reichweite des gewünschten drahtlosen Kommunikationskanals befindet.

Solche Angriffe können auf jeder Plattform durchgeführt werden, aber jetzt gibt es eine Vielzahl von resonanten Berichten, dass Angreifer Schwachstellen in Apples iMessage-Dienst ausgenutzt haben. Informationssicherheitsforscher sagen, dass die Bemühungen des Unternehmens, das Problem anzugehen, nicht erfolgreich waren. Darüber hinaus sind sie zuversichtlich, dass das Unternehmen weitere Schritte unternehmen könnte, um die am stärksten gefährdeten Benutzer zu schützen.

Angriffe ohne direkte Interaktion mit neuen iOS -Versionen sind immer noch nicht beliebt und werden ausschließlich gegen eine kleine Anzahl hochkarätiger Ziele auf der ganzen Welt eingesetzt. Mit anderen Worten, der durchschnittliche iPhone-Besitzer muss sich darüber kaum Gedanken machen. Der Vorfall in Bahrain bestätigt jedoch die Tatsache, dass die Bemühungen von Apple, die Risiken in iMessage für die am stärksten gefährdeten Benutzer zu verringern, nicht erfolgreich waren. Bleibt nur noch die Frage, wie weit das Unternehmen zu gehen bereit ist, um seine Messaging-Plattform sicherer zu machen.

„Es ist frustrierend festzustellen, dass iOS immer noch diese deinstallierbare App hat, die private Nachrichten und Daten von jedem akzeptiert”, sagt Patrick Wardle, ein erfahrener Sicherheitsforscher für macOS und iOS. „Wenn jemand einen Zero-Click- iMessage-Exploit hat, kann er ihn von überall auf der Welt aus verwenden und sofort auf Ihr iPhone zugreifen.”

Apple hat tatsächlich ernsthafte Schritte unternommen, um iMessage -Zero-Click- Angriffe in iOS 14 umfassend zu bekämpfen. Die bemerkenswerteste der neuen Funktionen, BlastDoor, ist eine Art „Quarantänezone” für eingehende Nachrichten. Es wurde entwickelt, um potenziell schädliche Daten auszusortieren, bevor sie in die iOS-Umgebung gelangen. Es kann jedoch immer noch eine bestimmte Anzahl von Exploits in das System gelangen. Ein im Juli von Amnesty International veröffentlichter Forschungsbericht des University of Toronto Civil Lab bestätigt, dass ein Zero-Click- Angriff die Sicherheit von BlastDoor umgehen kann .

Apple hat noch kein Update veröffentlicht, um diese Schwachstelle zu beheben und Schutz vor einem gefährlichen Angriff hinzuzufügen. Der Angriff selbst wurde von Amnesty International als „ Megalodon ” und vom Civil Lab als „ ForcedEntry ” bezeichnet. Ein Apple-Sprecher sagt, dass das Unternehmen beabsichtigt, die Sicherheit der iMessage-App zu verstärken, und dass neue Sicherheitsfunktionen in iOS 15 erscheinen werden. Welche neuen Schwachstellen nach der Einführung neuer Optionen auftauchen werden, lässt sich allerdings noch nicht genau sagen. Somit gibt es jetzt keinen hundertprozentigen Schutz gegen den BlastDoor-Hack, dessen Möglichkeit bereits von Amnesty International und dem Citizens Laboratory der University of Toronto festgestellt wurde.

„Angriffe wie dieser sind sehr raffiniert ; Ihre Entwicklung kostet Millionen von Dollar. Sie haben oft eine kurze Lebensdauer und werden verwendet, um die Telefone bestimmter Personen zu hacken", sagte Ivan Krstić, Leiter der Informationssicherheit und -architektur bei Apple, in einer Erklärung. „Das bedeutet zwar, dass sie für die überwiegende Mehrheit der Benutzer keine Bedrohung darstellen, aber wir arbeiten weiterhin unermüdlich daran, sicherzustellen, dass die Geräte unserer Kunden sicher geschützt sind.”

Viele Features und iMessage-Features erschweren laut Sicherheitsforschern den zuverlässigen Schutz des iPhones. Die Angriffsfläche ist riesig. Es gibt eine Menge Code und Optimierungen unter der Haube, um all diese grünen und blauen Blasen (plus Fotos, Videos, Links, Notizen, App-Integrationen und mehr) reibungslos laufen zu lassen. Jede Funktion und Beziehung mit einem anderen Element von iOS schafft eine neue Gelegenheit für Angreifer, „Löcher” in der Sicherheit zu finden, die während eines Angriffs erfolgreich ausgenutzt werden können. Mit dem Aufkommen der Zero-Click-Exploits von iMessage wurde immer deutlicher, dass das Beheben der Schwachstellen des Dienstes eine vollständige Überarbeitung des Tools erfordert, was im Prinzip unwahrscheinlich ist.

Aber auch ohne eine komplette Überarbeitung des Programms hat Apple immer noch Spielraum, um iMessage-Hacks zu bekämpfen. Informationssicherheitsforscher schlagen vor, dass das Unternehmen spezielle Optionen hinzufügen könnte, um besonders gefährdeten Benutzern zu helfen, die App auf ihren Geräten zu blockieren. Dies kann die Möglichkeit umfassen, unsichere Inhalte wie Bilder und Links vollständig zu blockieren sowie die Zustimmung des Telefonbesitzers einzuholen, Nachrichten von Personen zu lesen, die noch nicht in den Kontakten enthalten sind.

Unnötig zu erwähnen, dass diese Funktionen für die meisten Menschen keinen großen Unterschied machen würden. Viele Menschen möchten ständig per SMS benachrichtigt werden, dass Medikamente vorrätig sind, auch wenn ihre Kontakte keine Apothekennummer haben. Außerdem hat eine Person vielleicht den Wunsch, Fotos und Links zu Artikeln eines Bekannten zu sehen, mit dem sie gerade in einer Bar Nummern ausgetauscht hat. Diese extremen Sicherheitsmaßnahmen werden jedoch einen großen Beitrag zum Schutz von Benutzern leisten, die wertvolle Ziele für Angreifer darstellen.

Tatsächlich sind Forscher des University of Toronto Civic Lab und andere in der Sicherheitsbranche davon überzeugt, dass Apple die Möglichkeit bieten sollte, iMessage vollständig abzuschalten. Das Unternehmen war schon immer zurückhaltend, Benutzern zu erlauben, seine eigenen Apps zu deinstallieren, und iMessage ist in vielerlei Hinsicht eines der wichtigsten Tools des Unternehmens. iOS bietet Benutzern jedoch bereits die Möglichkeit, Apps wie FaceTime zu deinstallieren und andere wichtige Dienste wie Safari zu deaktivieren (Dies kann in den Einstellungen unter folgendem Pfad erfolgen: „ Bildschirmzeit ” > „ Inhalts- und Datenschutzbeschränkungen ” > „ Zugelassene Apps ” ).

Das Civil Lab selbst versteht, dass keine Lösung in allen Fällen zu 100 % effektiv sein kann. Zero-Click- Angriffe gibt es auch in anderen Kommunikations-Apps wie WhatsApp, sodass das Patchen der iMessage-Schwachstelle das Problem nicht vollständig beheben wird. Darüber hinaus würde die Rückkehr der Benutzer zu Textnachrichten (SMS) anstelle der Ende-zu-Ende-Verschlüsselung von Apple die Sicherheit insgesamt verringern.

Eine Option wie „ Geschützter Modus ” in iMessage könnte jedoch eine großartige Lösung von Apples Seite sein. Dies wird dem Unternehmen helfen, eine wichtige Geste gegenüber denen zu machen, die sich auf iOS verlassen, auch wenn die Einsätze extrem hoch sind.

„Wenn Apple Ihnen die Möglichkeit geben würde, iMessage vollständig zu deaktivieren, wäre das großartig”, sagt Wardle. „Abwehr wie BlastDoor ist auch da, aber es ist eher so, als würde man versuchen, eine Sandburg zu befestigen.”

Es hängt alles davon ab, wie weit Apple bereit ist zu gehen, um die „ Null-Klick “-Exploits von iMessage anzugehen, und wie genau es vorgehen wird.

„Das ist eine knifflige Frage – ich würde nicht alle erfolgreichen iMessage-Angriffe als Versehen von Apple bezeichnen”, sagt Will Strafach, erfahrener iOS-Forscher und Schöpfer der Guardian Firewall -App. „Das iPhone ist bei den Nutzern ein beliebtes Gerät und kein spezialisiertes Gerät mit hohem Schutzgrad. Ich hoffe jedoch, dass Forschungen wie diese Apple dazu inspirieren werden, Maßnahmen zu ergreifen und ihre Informationssicherheitsteams mit den Ressourcen auszustatten, die sie benötigen, um allgemeine Angriffsvektoren, insbesondere in iMessage, zu stärken.”

Die Veröffentlichung von iOS 15 sollte mehr über die Gerätesicherheitslösungen von Apple verraten. Die unzähligen früheren Versuche des Unternehmens, kombiniert mit dem Fehlen einer kurzfristigen Lösung für die iMessage-Angriffe, weisen jedoch sowohl auf die Komplexität des Problems als auch auf die größere Notwendigkeit hin, es zu beheben.

Laut Wired.

Das könnte dir auch gefallen Mehr vom Autor

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen