Noch nicht gefixed

0-Day-Lücke in iOS liest persönliche iPhone-Daten aus

25.09.2021
Von 
Halyna Kubiv ist Content Managerin bei der Macwelt.
Ein verärgerter Entwickler hat vier Sicherheitslücken veröffentlicht, die Apple wohl bekannt waren, aber nie geschlossen wurden.

Das Bug Bounty Programm von Apple lobt fast schon die höchsten Preise in der Industrie aus, stößt immer wieder auf Kritik wegen der Kommunikation. So hat ein russischer Entwickler bereits im Zeitraum zwischen März und Mai 2021 an Apple vier Lücken in iOS gemeldet. Eine davon wurde mit iOS 14.7 geschlossen, der Hersteller hat sie in den Sicherheitsnotizen nie erwähnt und auch versäumt, dies wie versprochen in den Sicherheitsnotizen zu den nachfolgenden Updates zu tun.

Neue Sicherheitslücke in iOS aufgedeckt
Neue Sicherheitslücke in iOS aufgedeckt

Wegen drei weiteren Lücken hat der Entwickler nach seiner Aussagen den Hersteller kontaktiert, mit dem Stand heute sind sie noch nicht geschlossen. So hat er die Code-Beispiele und die Erklärungen dafür auf Github veröffentlicht, auf Twitter haben bereits einige Nutzer die Wirksamkeit davon bestätigt.

Bei den noch nicht geschlossenen Lücken geht es zum einen um Apples Game Center. Einer der Hintergrundprozesse in iOS prüft nicht nach, ob eine App eine Berechtigung zum Ausführen aller Game-Center-Funktionen berechtigt ist. Das kann dazu führen, dass eine beliebige installierte App beim Game Center Nutzer-Angaben abfragen kann. Das System kann auf diese Anfrage folgende Daten herausgeben: Kontakte aus Mail, SMS, iMessage, aus anderen Messenger-Apps, Liste der Favoriten aus Kontakte-App und deren Telefonnummer, komplette Datenbanken aus Kontakte-App, Bilder der Kontakte.

Eine weitere Lücke, auch unter iOS 15 aktiv, kann jeder installierten App erlauben, eine Abfrage zu starten, ob eine andere App auf dem betroffenen Gerät installiert ist und darauf eine Antwort erhalten.

Die dritte noch nicht geschlossene Lücke erlaubt es einer App mit der Standortberechtigung einige Wlan-Informationen wie SSID zu erlangen.

Die vierte Lücke wurde mit iOS 14.7 geschlossen, doch die hat es auch in sich. Noch bis iOS 14.7 konnte jede installierte App die Informationen aus "analyticsd", also aus der iOS-Auswertung der Abstürze etc., alle Informationen erlangen. Dabei sammelt Apple unterschiedliche Gesundheitsdaten wie Herzfrequenz, monatliche Zyklen, Geschlecht und Alter der Nutzer (Diese Daten werden nur ausgewertet, wenn von Nutzer erlaubt. Sie können diese Erlaubnis unter "Einstellungen > Datenschutz > Analyse & Verbesserungen > Health & Aktivität, Gesundheitsakte, "Händewaschen" und Rollstuhl – Anm. d. Red). Dazu kann man in diesen Datenbanken Angaben zu den App-Abstürzen, der Bildschirmzeit auf dem Gerät, Sprachen der geöffneten Seiten in Safari etc. enthalten werden.

Da die Schwachstellen nun seit einigen Stunden bekannt sind, gibt es eigentlich keinen Schutz dagegen. Man kann nur raten, in der Zeit, bis Apple die Schwachstellen schließt, keine unbekannten Apps zu installieren. (Macwelt)