Neues iPhone-Leck erlaubt Schadcode

Martin Schindler,

Über eine neu entdeckte Sicherheitslücke in iOS können Drittanwendungen unsignierten Code nachladen. Apple reagiert auf diese Meldung mit dem Ausschluss des Entdeckers des Sicherheitslecks aus dem Entwicklerprogramm.

Anwendungen können so ihre Funktion ändern. Durch das Nachladen von Code wird Apples Genehmigungsverfahren unterwandert, das die Sicherheit von Anwendungen gewährleisten soll. Das Magazin Forbes berichtet von diesem Leck, das der Sicherheitsforscher Charlie Miller entdeckt hat.

Den Exploit für die Lücke will Miller, der als Principal Research Consultant bei Accuvant arbeitet, in der kommenden Woche demonstrieren. Das Leck basiert auf einer Ausnahmeregelung, die Apple im vergangenen Jahr zusammen mit iOS 4.3 für Apples Safari eingeführt hatte.

Der Browser gibt dadurch JavaScript besondere Rechte beim Zugriff auf den Speicher von iOS-Geräten. Auf diese Weise lässt sich, so Millers Darstellung, aber auch unsignierter Code einschleusen. Anwendungen bekommen auf diese Weise Zugriff auf Kontakte und Fotos und können Hardwarefunktionen wie Vibrationsalarm oder Lautsprecher aktivieren, so Miller.

Der Sicherheitsforscher hat den Exploit mit seiner eigenen, in Apples App Store veröffentlichten Anwendung namens “Instastock” getestet. Das Programm, das Apple inzwischen entfernt hat, nimmt Kontakt zu einem Server von Miller auf und lädt Code nach, der ein Youtube-Video startete.

Apple stand für eine Stellungnahme nicht zur Verfügung. Das Unternehmen kann jede Anwendung aus dem App Store verbannen, die diese Hintertür ausnutzt, da dadurch die Richtlinien für iOS-Apps verletzt werden. Darin heißt es unter anderem, dass alle Programme abgelehnt werden, die sich anders verhalten als beschrieben oder über nicht dokumentierte oder versteckte Funktionen verfügen. Gleiches gilt für Apps, die Code nachladen.

Gegenüber ZDNet sagte Miller, er habe Apple schon vor drei Wochen auf die Anfälligkeit hingewiesen. Ob das kommende Update auf iOS 5.0.1 einen Fix enthalte, wisse er nicht. Offiziell beseitigt die neue Version ein Akku-Problem und enthält nicht näher genannte Sicherheitsverbesserungen.

Inzwischen hat Apple Miller auch aus seinem Entwicklerprogramm ausgeschlossen. “Ich glaube nicht, dass sie das zuvor mit einem anderen Forscher getan haben”, schreibt Miller in einer E-Mail an ZDNet. “Es hat vorher aber auch noch niemand die Sicherheit des App Store untersucht. Und ich kann mir gut vorstellen, dass das nach diesem Vorfall auch keiner mehr machen wird.” Apples Entscheidung sei eine “richtig schlechte Nachricht”.