Österreich
Diese Berufsgruppen müssen jetzt zum Corona-Test
217.574 mal gelesen
iPhone-Blackout
Schwere Sicherheitslücke in Apples iOS entdeckt
(Bild: AFP)
Forscher der TU Darmstadt haben eine Schwachstelle in Apples mobilem Betriebssystem iOS gefunden, die mehr als eine halbe Milliarde Geräte betrifft. Die Forscher empfehlen Nutzern dringend, das soeben erschienene Update 12.1 zu installieren. Aufgrund der Sicherheitslücke könnten Angreifer iPhones und iPads mit handelsüblicher Hardware und ohne physischen Zugriff zum Abstürzen bringen.
Nach dem Prinzip der „responsible disclosure“ wurde die Sicherheitslücke an Apple gemeldet und nun in allen Apple-Betriebssystemen durch entsprechende Aktualisierungen geschlossen. Denn neben iOS betrifft die Schwachstelle auch macOS, tvOS und watchOS. Die Wissenschaftler des Secure Mobile Networking Labs an der TU Darmstadt empfehlen Nutzern von mobilen Geräten von Apple daher dringend, die aktuellen Updates (iOS 12.1, macOS 10.14.1, tvOS 5.1 und watchOS 5.1) zu installieren, um die Geräte zu schützen.
Brute-Force-Attacke über Drahtlos-Schnittstelle
Apple wirbt traditionell für nutzerfreundliche Funktionen, wie beispielsweise AirPlay, mit dem man kabellos und mit einem Klick von verschiedensten Apple-Geräten Musik oder Filme an kompatible Lautsprecher und Fernseher senden kann. Die dahinterliegenden Protokolle nutzen dazu Herstellererweiterungen wie Apple Wireless Direct Link (AWDL), welches direkte WLAN-Kommunikation zwischen Apple-Geräten ermöglicht.
(Bild: AFP)
Doch die komfortablen Funktionen bergen auch Risiken, erklärt TU-Professor Matthias Hollick, Leiter des Secure Mobile Networking Labs: „AWDL nutzt verschiedene Funktechnologien. Vereinfacht gesagt klingeln wir mittels Bluetooth LE Sturm und das Zielgerät aktiviert dadurch AWDL. In einem zweiten Schritt nutzen wir aus, dass Apple die Eingaben, die wir an das Zielgerät schicken, nicht vollständig sauber überprüft; das ermöglicht es uns, das Gerät mit unsinnigen Eingaben zu fluten. Im Ergebnis können wir dadurch das Zielgerät oder auch alle in der Nähe befindlichen Geräte gleichzeitig zum Absturz bringen. Dabei benötigen wir keinerlei Nutzerinteraktion.“
Angriff mit einfachen Mitteln möglich
Für diese sogenannte Brute-Force-Attacke braucht es laut Mitarbeiter Milan Stute nicht einmal spezielle Hardware: “Der Angriff funktioniert mit einer WLAN-Karte eines handelsüblichen Laptops und einem BBC micro:bit, einem preiswerten Bluetooth-fähigen Einplatinencomputer ähnlich einem Raspberry Pi oder Arduino, der ursprünglich als Programmier-Lernplattform für Schulkinder entwickelt wurde." Potenzielle Angreifer hätten also leichtes Spiel. Das demonstrieren die Forscher in einem Video des - nach erfolgreich installiertem Update so nicht mehr möglichen - Angriffs. Reihenweise stürzen die Geräte ab, ohne dass die Forscher sie dafür auch nur einmal berühren mussten.
Kommentare
Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.
User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).