iOS 9: Die 1 Million Dollar-Lücke

4. November 2015 Kategorie: Backup & Security, iOS, geschrieben von:

Apple2015_iPad_iPhone9Das Interesse an Sicherheitslücken wächst stetig. Besonders Lücken im Mobilbereich haben es vielen Angreifern angetan, ist doch das Smartphone unser „persönlichster Computer“, der so viel von uns weiß. Viele haben sensible Inhalte auf ihren Smartphones und viele dieser Inhalte sind Angreifern bares Geld wert. Es ist ein lukrativer Markt, das Auffinden von Lücken wird oftmals gut bezahlt. Kurios: Es sind eben nicht die Anbieter von Angeboten (beispielsweise Google, Apple, Facebook, Microsoft und Co), die besonders gut für das Auffinden dieser Lücken zahlen – es sind die anderen.

So wurde der US-Behörde NSA bereits 2013 nachgesagt, dass diese Millionen Dollar in die Hand nimmt, um Informationen über Computerlücken zu erwerben – Wissen ist bekanntlich Macht. Ende September 2015 rief dann zerodium zu einem hochdotierten Wettbewerb auf: „The Million Dollar iOS 9 Bug Bounty“. Eine satte Million Dollar für denjenigen, der einen vordefinierten Exploit / Jailbreak für Apples mobiles Betriebssystem iOS 9 veröffentlicht. Das, nach Aussage der Sicherheitsexperten von zerodium, sicherste mobile Betriebssystem sollte also einmal kräftig unter die Lupe genommen werden – Ruhm und Ehre waren nicht genug – eine Million Dollar für den Finder sollten das Auffinden der Lücke versüßen und beschleunigen.

IMG_4344

Diese gefundene Lücke (browserbasierter Jailbreak) solle nun weiterverkauft werden – an US-Kunden. Dass eine solche Summe bezahlt wird, sei ein Indiz für die Schwierigkeit, mit der diese Lücken in iOS zu finden sind – so zerodium-Gründer Chaouki Bekrar im Gespräch mit Motherboard zum Thema. Die Finder der Lücke haben offenbar diverse Lücken in Chrome und iOS gefunden, welche zusammengezogen ausreichten um den browserbasierten Jailbreak durchzuführen. Besucher einer speziell präparierten Webseite könnten sich wundern, wenn unbemerkt ihr iPhone einem Jailbreak unterzogen wird – was natürlich Tür und Tor für weitere Angriffe öffnen könnte.

Wie lange die Lücke allerdings offen bleibt ist fraglich – Chaouki Bekrar geht davon aus, dass sie in den kommenden Wochen oder Monaten geschlossen werden könnte. Er selber sieht in der Schwierigkeit, eine Lücke in iOS zu finden, übrigens etwas Gutes für Apple. Deren Sicherheitsaussagen seien nicht nur Marketing. Dennoch – und der „1 Million Dollar-Hack“ zeigt es – auch dieses System ist angreifbar – wie wahrscheinlich jedes andere auch.

Persönliche Meinung dazu: Wir lesen jeden Tag von Sicherheitslücken in Windows, iOS, Android oder OS X. Manche dieser Lücken sind extrem schwer auszunutzen – selbst für Profis – andere wiederum könnten – nach Bekanntwerden der Vorgehensweise – auch von fortgeschrittenen Anwendern vielleicht ausgenutzt werden. Anbieter wie Apple, Microsoft, Google, Facebook und Co sollten vielleicht den Igel aus der Tasche nehmen und spezielle, schwerwiegende Lücken extrem lukrativ für die Finder entlohnen. Viele Kunden vertrauen auf die Unternehmen und die Sicherheit der vielleicht sensiblen Daten. Und Vertrauen ist etwas, was keine Firma so leichtfertig verspielen sollte.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25442 Artikel geschrieben.