Wenn das iPhone schwarz wird
Massive Sicherheitslücke in Apple Betriebssystemen betrifft mehr als eine Milliarde Geräte
2018/10/30
Forscher der TU Darmstadt haben eine Schwachstelle in Apples iOS und macOS gefunden, die mehr als eine Milliarde Geräte betrifft. Sie empfehlen Nutzern dringend, die soeben erschienenen Updates zu installieren. Durch die Schwachstelle können Angreifer iPhones und iPads mit handelsüblicher Hardware und ohne physischen Zugriff zum Abstürzen bringen.
Wissenschaftler des an der TU Darmstadt haben eine Schwachstelle im iPhone-Betriebssystem iOS 12 gefunden, durch die ein Angreifer Apple-Geräte wie iPhones und iPads, aber auch MacBooks und Apple Watches mit einer handelsüblichen WLAN-Karte und einer für unter 20€ erhältlichen programmierbaren Platine zum Absturz bringen kann. Nach dem Prinzip der „responsible disclosure“ wurde Secure Mobile Networking Labs. Denn neben die Sicherheitslücke an Apple gemeldet und nun in allen Apple-Betriebssystemen durch entsprechende Aktualisierungen geschlossen betrifft die Schwachstelle auch iOS, macOS, und tvOS. Die Wissenschaftler empfehlen Nutzern von mobilen Geräten von Apple dringend, die aktuellen Updates (iOS 12.1, macOS 10.14.1, tvOS 5.1 und watchOS 5.1) zu installieren, um die Geräte zu schützen. watchOS
Apple ist bekannt für nutzerfreundliche Funktionen, wie beispielsweise AirPlay, mit dem man kabellos und mit einem Klick von verschiedensten Apple-Geräten Musik oder Filme an kompatible Lautsprecher und Fernseher senden kann. Die dahinterliegenden Protokolle nutzen dazu Herstellererweiterungen wie Apple Wireless Direct Link (AWDL), welches direkte WLAN-Kommunikation zwischen Apple-Geräten ermöglicht. Doch die komfortablen Funktionen bergen auch Risiken, erklärt TU-Professor Matthias Hollick, Leiter des Secure Mobile Networking Labs: „AWDL nutzt verschiedene Funktechnologien. Vereinfacht gesagt klingeln wir mittels Bluetooth LE Sturm und das Zielgerät aktiviert dadurch AWDL. In einem zweiten Schritt nutzen wir aus, dass Apple die Eingaben, die wir an das Zielgerät schicken, nicht vollständig sauber überprüft; das ermöglicht es uns das Gerät mit unsinnigen Eingaben zu fluten. Im Ergebnis können wir dadurch das Zielgerät oder auch alle in der Nähe befindlichen Apple Geräte gleichzeitig zum Absturz bringen. Dabei benötigen wir keinerlei Nutzerinteraktion.“
Milan Stute, Mitarbeiter am Secure Mobile Networking Lab, ergänzt: „Um die Bluetooth Brute-Force-Attacke und die nachfolgenden Schritte praktisch durchzuführen, braucht es nicht einmal spezielle Hardware: der Angriff funktioniert mit einer WLAN-Karte eines handelsüblichen Laptops und einem BBC micro:bit, einem preiswerten Bluetooth-fähigen Einplatinencomputer ähnlich einem Raspberry Pi oder Arduino, der ursprünglich als Programmier-Lernplattform für Schulkinder entwickelt wurde.“ Potenzielle Angreifer hätten also leichtes Spiel. des – nach erfolgreich installiertem Update so nicht mehr möglichen – Angriffs, das sie auf YouTube veröffentlicht haben. Reihenweise stürzen die Geräte ab, ohne dass die Forscher sie dafür auch nur einmal berühren mussten. Das demonstrieren die Forscher eindrucksvoll in einem Video
Um die Schwachstelle – – überhaupt entdecken zu können, mussten die Forscher das proprietäre AWDL-Protokoll zunächst verstehen und in einem eigenen Prototypen nachbauen. Mit diesem wurde es dann möglich, die Lücke zu identifizieren. veröffentlicht als CVE-2018-4368
Auch wenn die gefundene Schwachstelle nur Apple-Geräte betrifft, sollten sich Nutzer mit einem Android-Handy nicht zu früh freuen: Die gefundene Schwachstelle hat auch Implikationen für die “Nicht-Apple-Welt”. Der neue Standard der Wi-Fi Alliance, . Die Forscher erwarten, dass ähnliche Schwachstellen in NAN-Implementierungen gefunden werden, da AWDL und NAN eine ähnlich hohe Komplexität aufweisen. Neighbor Awareness Networking (NAN), baut auf AWDL auf und wird bereits von Googles Android unterstützt
Updates auf iPhone und iPad installieren
1) Einstellungen des iPhone / iPad aufrufen,
2) auf “Allgemein”, dann “Softwareupdate” klicken,
3) “Laden und installieren” auswählen. Nun wird das Update per WLAN auf das Handy bzw. Tablet heruntergeladen und installiert.
Video: Crashing iOS 12 devices remotely via Wi-Fi
Recommended external content
We have selected external content from YouTube for you and would like to show it to you right here. To do this, you must reveal it with one click. You can hide the external content at any time with another click.
I agree to external content from YouTube being shown to me. This may result in personal data being transmitted to third-party platforms. You can find more information in our Privacy Policy.