Anwendungen können so ihre Funktion ändern. Durch das Nachladen von Code wird Apples Genehmigungsverfahren unterwandert, das die Sicherheit von Anwendungen gewährleisten soll. Das Magazin Forbes berichtet von diesem Leck, das der Sicherheitsforscher Charlie Miller entdeckt hat.
Den Exploit für die Lücke will Miller, der als Principal Research Consultant bei Accuvant arbeitet, in der kommenden Woche demonstrieren. Das Leck basiert auf einer Ausnahmeregelung, die Apple im vergangenen Jahr zusammen mit iOS 4.3 für Apples Safari eingeführt hatte.
Der Browser gibt dadurch JavaScript besondere Rechte beim Zugriff auf den Speicher von iOS-Geräten. Auf diese Weise lässt sich, so Millers Darstellung, aber auch unsignierter Code einschleusen. Anwendungen bekommen auf diese Weise Zugriff auf Kontakte und Fotos und können Hardwarefunktionen wie Vibrationsalarm oder Lautsprecher aktivieren, so Miller.
Der Sicherheitsforscher hat den Exploit mit seiner eigenen, in Apples App Store veröffentlichten Anwendung namens “Instastock” getestet. Das Programm, das Apple inzwischen entfernt hat, nimmt Kontakt zu einem Server von Miller auf und lädt Code nach, der ein Youtube-Video startete.
Apple stand für eine Stellungnahme nicht zur Verfügung. Das Unternehmen kann jede Anwendung aus dem App Store verbannen, die diese Hintertür ausnutzt, da dadurch die Richtlinien für iOS-Apps verletzt werden. Darin heißt es unter anderem, dass alle Programme abgelehnt werden, die sich anders verhalten als beschrieben oder über nicht dokumentierte oder versteckte Funktionen verfügen. Gleiches gilt für Apps, die Code nachladen.
Gegenüber ZDNet sagte Miller, er habe Apple schon vor drei Wochen auf die Anfälligkeit hingewiesen. Ob das kommende Update auf iOS 5.0.1 einen Fix enthalte, wisse er nicht. Offiziell beseitigt die neue Version ein Akku-Problem und enthält nicht näher genannte Sicherheitsverbesserungen.
Inzwischen hat Apple Miller auch aus seinem Entwicklerprogramm ausgeschlossen. “Ich glaube nicht, dass sie das zuvor mit einem anderen Forscher getan haben”, schreibt Miller in einer E-Mail an ZDNet. “Es hat vorher aber auch noch niemand die Sicherheit des App Store untersucht. Und ich kann mir gut vorstellen, dass das nach diesem Vorfall auch keiner mehr machen wird.” Apples Entscheidung sei eine “richtig schlechte Nachricht”.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…