Seit iOS 4.3: Sicherheitslücke in iOS umgeht Sandbox

Ben Miller
6

Charlie Miller

Foto von Garrett Gee Eine von Sicherheitsexperte Charlie Miller entdeckte Sicherheitslücke in iOS erlaubt Apps die sogenannte “Sandbox”, also den eigentlich abgeschotteten Bereich innerhalb von iOS, zu umgehen.

Dadurch können spezielle Applikationen, auch aus der Ferne gesteuert, Schadcode bzw. Systembefehle ausserhalb der Sandbox ausführen. Bereits in iOS 4.3 wurde Miller auf diese Schwachstelle aufmerksam, machte sie aber erst jetzt publik. Seither findet sich dieses Schlupfloch in jeder iOS-Version, auch im aktuellen iOS 5.

Um die Schwachstelle zu testen, erstellte Miller eine spezielle App, die Daten bzw. Befehle von einem Server laden und auf dem betroffenen Gerät ausführen kann. Unerfreulicherweise schaffte es die Applikation durch den Prüfprozess des App Stores und war für “einige Zeit” dort zum Download verfügbar. Jedoch erläuterte Miller, dass nur seine Kopie der Applikation für den Empfang von Befehlen konfiguriert war und somit kein User zu Schaden kam.

Mit der Veröffentlichung der Schwachstelle wurde Millers App aus dem AppStore entfernt und Miller für ein Jahr aus dem Apple-Entwicklerprogramm gebannt. Letzteres scheint auf den ersten Blick zwar nicht angebracht, entspricht aber den Bedingungen des Entwickler-Programmes.

Bis Apple diese Sicherheitslücke durch ein Firmware-Update schliesst, empfiehlt Miller nur Apples von vertrauenswürdigen Entwicklern zu installieren.

In Vergangenheit zeichnete sich Charlie Miller unter anderem für die Entdeckung von Sicherheitslücken im Safari-Browser, sowohl unter OS X als auch iOS, sowie bei der ersten Generation des MacBook Air verantwortlich.

Weitere Themen: AppKack der Woche: Die schlechtesten Mobile Games, Apple

Neue Artikel von GIGA APPLE

GIGA Marktplatz