pte20100804019 Technologie/Digitalisierung, Medien/Kommunikation

Jailbreak: Security-Desaster für Apple

F-Secure: Cyberkriminelle haben mit der Lücke leichtes Spiel


iOS auf dem iPhone: Jailbreak zeigt Sicherheitsmängel (Foto: apple.com)
iOS auf dem iPhone: Jailbreak zeigt Sicherheitsmängel (Foto: apple.com)

Helsinki (pte019/04.08.2010/13:55) Das Tool JailbreakMe 2.0 zum einfachen Entsperren von iPhone und iPad zeigt eine große Sicherheitslücke in Apples mobilem Betriebssystem iOS auf. "Jailbreaks haben schon seit dem ersten iPhone gezeigt, wie leicht sich jedes Sicherheitskonzept umgehen lässt", meint Sean Sullivan, Security Advisor bei F-Secure http://www.f-secure.com , im Gespräch mit pressetext.

Der aktuelle Jailbreak nutzt spezielle PDF-Dateien und funktioniert einfach per Webseite (pressetext berichtete: http://www.pressetext.com/news/100802010/). "Das ist die Besonderheit, es ist somit ein Drive-by. Diese Lücke wäre ganz leicht mit böser Absicht auszunutzen", betont der Sicherheitsexperte. Aus seiner Sicht sind mobile Betriebssysteme wie iOS nicht unbedingt von vornherein sicherer als Desktop-Windows. Sie bieten aber andere Möglichkeiten zum Umgang mit gefundenen Schwachstellen.

Einfach Apple, einfach unsicher

Obwohl die neue Lücke auf PDF-Dateien setzt, trifft nach F-Secures bisherigen Analysen Adobe keine Schuld. "Es scheint ein Problem mit Apples Umsetzung des PDF-Standards für iOS zu sein, was einer gewissen Ironie nicht entbehrt", sagt der Sicherheitsexperte. Immerhin lobt Apple gerne das sichere Design seiner Betriebssysteme und hat beim Hickhack mit Adobe im Frühjahr nicht zuletzt die Sicherheitsmängel kritisiert. Doch die Jailbreak-PDF-Lücke ist offenbar nur für Apples iOS-Geräte gefährlich.

Dort könnte sie leicht auch von Cyberkriminellen genutzt werden, so Sullivan. Denkbar sei beispielsweise, schädliche PDF-Dateien an User zu verschicken, die E-Mails auf dem iPhone lesen. Dementsprechend sei zu hoffen, dass Apple die Lücke schnell schließen wird. "Auch einer der ersten iPhone-Jailbreaks war ein Drive-by", sagt der Experte. Im Oktober 2007 konnte die Kontrolle über das Smartphone durch TIFF-Grafikdateien erlangt werden. Dass damals keine großen Hacker-Angriffe erfolgt sind, hängt vermutlich mit der anfangs begrenzen Gerätezahl zusammen.

Vorteil Inkompatibilität

Für Cyberkriminelle sind Windows-PCs nach wie vor ein lohnenderes Ziel als Smartphones, da es einfach mehr Geräte gibt. Während Windows schon 2008 auf einer Mrd. Rechnern weltweit lief, wird das iPhone nach Schätzung der Morgan-Stanley-Analystin Katy Huberty Ende 2011 die 100-Mio.-Marke erreichen. Trotzdem werden Smartphones zunehmend als Angriffsziel attraktiv.

"Ein sehr abgeschotteter Zugang zu Apps wie iOS hat da sicher Vorteile", meint Sullivan. Allerdings bedeute das nicht, dass das Betriebssystem selbst wirklich sicherer ist. Vielmehr sieht der F-Secure-Experte die relative Kurzlebigkeit des Smartphone-Markts als Sicherheitsvorteil. "Die Plattformen müssen nicht wie Windows viele Jahre Abwärtskompatibilität für Unternehmen bieten", erklärt er. Das kann das Beseitigen von Schwachstellen erleichtern.

Bei Symbian S60 etwa habe eine Änderung der Binärstruktur zwischen 2nd Edition und 3rd Edition viele Würmer einfach eliminiert, ohne einen großen Nutzeraufschrei wegen nicht mehr laufenden Programmen auszulösen. Ähnliches gilt bei iPhone- oder Android-Apps, die durch ein Betriebssystemupdate nicht mehr funktionieren. Die meisten Endkunden kaufen dann einfach neue Versionen oder Apps.

(Ende)
Aussender: pressetext.austria
Ansprechpartner: Thomas Pichler
Tel.: +43-1-81140-303
E-Mail: pichler@pressetext.com
|