Kurz notiert: Betanews für iOS 13 & macOS 10.15, Spionage durch Aktivierung der Mac-Kamera per Zoom möglich
iOS 13 & macOS 10.15: : Neuheiten aus der BetaphaseEine Woche nach den letzten Entwicklerversionen hat Apple in der vergangenen Nacht auch Updates für Teilnehmer des öffentlichen Testprogramms veröffentlicht. Damit stehen iOS 13, iPadOS 13, macOS 10.15 und tvOS 13 nun bereits als zweite Public Beta zur Verfügung. Einen Überblick zu den Neuerungen der aktuellen Beta hatten wir in der vergangenen Woche geboten:
. Apple setzte zahlreiche Detailverbesserungen um und implementiert offensichtlich gerade die Datenübertragung per Kabel zwischen zwei iOS-Geräten.
Gleichzeitig gibt es aber auch im normalen Entwicklerprogramm ein Update, denn Apple aktualisierte die Beta 3. Vor einer Woche stand die Testversion nicht für Nutzer des iPhone 7 zur Verfügung, was sich mit Build 17A5522g aber geändert hat. Die Buildnummer liegt jetzt bei 17A5522g, weiterhin bezeichnet Apple das Release aber als dritte Beta. Laden lässt sich Build 17A5522g für alle iPhones, nicht nur für das 2016 erschienene Modell.
Webseiten können per Zoom Kamera aktivierenDie Videokonferenz-Lösung Zoom bringt nicht nur viele praktische Funktionen für Online-Besprechungen, sondern auch eine gefährliche Sicherheitslücke mit. Wie ein Sicherheitsforscher
demonstrierte, ist es speziell präparierten Webseiten möglich, die Kamera des Nutzers zu aktivieren. Dazu wird die Person ohne deren Wissen in eine Videokonferenz geladen. Angreifbar ist, wer Audio- und Videostreaming für neue Gespräche automatisch aktivieren lässt.
Die Sicherheitslücke entsteht durch eine etwas merkwürdig anmutende Konzeption der Konferenzlösung. Diese erzeugt einen lokalen Webserver, der als Hintergrunddienst arbeitet. Die Entwickler gingen diesen Weg, um weiterhin mit Safari 12 kompatibel zu sein und "1 click conferencing" bieten zu können, so die aktuelle Stellungnahme des Betreibers. Genau diese Entscheidung sei aber ein Einfallstor für Angriffe, erklärt der Sicherheitsforscher. Besagter Webserver mache Dinge möglich, die vom System sonst verhindert werden, denn die Browser-Sandbox ist damit umgangen. Auch wenn Zoom bereits reagiert habe und Server-Anfragen nun signiere, sei dennoch die einzig wirklich sichere Lösung, besagtes Servermodell wieder zu entfernen, so
Jonathan Leitschuh. Ebenfalls möglich wären nämlich auch weitere Angriffsszenarios, beispielsweise eine "Denial of Service"-Attacke und unzählige invalide Gesprächseinladungen. Außerdem entferne die Deinstallation des Zoom-Clients nicht jenen Server... der Zoom direkt wieder nachinstalliert, sobald der Nutzer auf einer entsprechenden Seite landet.