Neue Lücke in iOS 6 und iOS 7 erlaubt Keylogging auch ohne Jailbreak

Apple hat es dieses Jahr anscheinend nicht so mit der Sicherheit. Vor ein paar Tagen wurde bekannt, dass iOS 7 eine schwerwiegende Lücke bezüglich der Überprüfung von SSL-Zertifikaten hat. Diese Lücke ist auch in OS X vorhanden und immer noch nicht gestopft. Jetzt wurde eine weitere kritische Lücke bekannt, die Touchscreen-Eingaben mitschneiden kann und somit auch die Eingabe von Passwörtern oder anderen sensiblen Daten, ebenso wie TouchID Eingaben. Ein Keylogger für Touchscreens sozusagen. Betroffen sind iOS 7.0.4, iOS 7.0.5, iOS 7.0.6, sowie alle iOS 6.1.x Versionen. Ein Jailbreak ist dafür nicht nötig.

Apple_iOS_Keylogger

Sicherheits-Experten von FireEye wurden auf die Lücke aufmerksam, diese wird in einem Blogpost ausführlich beschrieben. ArsTechnica hat zudem eine weitere Veröffentlichung von FireEye entdeckt, die besagt, dass es ihnen gelang, eine Proof-of-Concept-App in den AppStore zu schleusen. Diese Veröffentlichung verschwand aber wieder. Apple äußerte sich bisher nicht zu diesem Thema. Es ist aber wohl davon auszugehen, das wir vor iOS 7.1 noch einmal ein kleines Update zu Gesicht bekommen. Die letzten paar Tage hätten für Apple in Sachen Sicherheit definitiv besser laufen können.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

15 Kommentare

  1. Für OSX ist die 10.9.2 mit nem Fix und paar Factime Features raus.

  2. 0 Inhalt, in diesem Beitrag.

  3. Überprüft auch mal jemand Android? Ich glaube da sieht es nicht besser aus in Sachen „Sicherheit“…

  4. Meine Güte, können die Apple User nicht auch einfach mal zugeben, dass Apple nicht der heilige Gral ist? Muss man gleich wieder mit „die anderen sind auch doof“ ankommen?

  5. nobody ist perfekt, aber die ssl sicherheitslücke war schon ziemlich peinlich für apple. was postiv war… erst kam das update auf meinem iphone an und erst danach ging das thema durch die presse bzw. kam an die öffentlichkeit. eine wirkliche gefahr bestand so also nicht wirklich. bei macos musste man allerdings bis heute auf das update warten.
    nun also noch eine sicherheitslücke. leider verstehe ich nicht worum es wirklich geht, besser gesagt, welche gefahr besteht genau und was muss ein angreifer tun um diese auszunutzen? das hätte man im artikel vielleicht besser erklären können.

  6. @pat: Android basiert auf Linux, Linux wird oft auf Servern eingesetzt, wo auch die Sicherheit gerne mal kontrolliert wird.

  7. Schnell Threema herunterladen damit niemand meine Nachrichten mitlesen kann… schön wärs. Was nutzen einem sichere Messenger bzw. Apps, wenn die Basis nicht passt!

  8. @Tobinius
    Du denkst doch nicht wirklich, Android wäre lediglich ein Linux-Kernel plus einer netten GUI?

  9. @HO
    Ein Programm, das im Hintergrund läuft kann Touchscreenevents mitlesen. So simpel und trivial. Sollte bei der ganzen Sandboxphilosophie nicht möglich sein. Was allerdings beabsichtigt ist, ist das Abgreifen von Lautstärke und Co. Wird auch in dem Bericht als Lücke definiert.
    Keine Ahnung wie das alles bei Android aussieht. Muss es dafür gerootet sein?
    @Tobinius
    seufz

  10. @Goran
    Einen Keylogger auf Android zu realisieren ist relativ einfach:
    http://www.android-app-development.ie/blog/2013/03/06/inserting-keylogger-code-in-android-swiftkey-using-apktool/
    Hier kann man sehr schön die Möglichkeit ausnutzen, Apps aus nicht-vertrauenswürdigen Quellen zu installieren.

    Was also „Standard“ auf Android ist, ist auf iOS schon eine Nachricht wert. Wie es eigentlich funktioniert wird mit keinem Wort erwähnt. Ich kann mir nicht vorstellen dass private APIs dafür benutzt werden. Das wäre beim Review aufgefallen. Die Zeit wird zeigen worum es sich hier handelt.
    Es gab vor 2 Jahren mal eine theoretische Attacke, Keyboardeingaben mit dem Gyro auszulesen, angeblich mit 80% Trefferquote. Daraus geworden ist aber nichts.
    http://www.tuaw.com/2011/10/19/proof-of-concept-iphone-captures-keystrokes-via-thump-phreakin/

  11. Haha, wie peinlich die ganzen Fanboys hier sind. „bäh, mein OS hat eine Lücke.. Aber euer OS ist schlechter!“
    Seid ihr 12 Jahre alt?
    Ich hab auch ein iPhone 4S und mir ist bewusst, dass jedes OS Lücken hat. Meistens sitzt das größte Risiko aber vor dem Display.. Oder ein verblendeter Fanboy

  12. @NanoJim:

    +1 ist wirklich wieder schlimm in den ganzen Kommentaren der Artikel. Apple-Fanboys sind einfach mit die schlimmsten die es gibt, denen kann man eine Realitätskeule ins Gesicht hauen, Wirkung = 0, das schlimme ist die glauben den Mist auch noch selber den sie verzapfen. Jedes OS hat Lücken, und auch immer wieder neue Lücken…weder iOS noch OSX kann man den Titel „Sicher“ zu sprechen, denn keines der Systeme ist es, das gilt natürlich für alle anderen auch.

  13. +1 @NanoJim / @TimTaylor: Ich geb Euch sowas von Recht .. /signed

  14. @Sepp @NanoJim @TimTaylor @….: Ich nutze selbst Android (Nexus 5)! Ich wunder mich nur, dass man lange nichts von Android Schwachstellen gehört hat! Das hat nichts mit Apple-Fanboy gehabe zu tun!!!