Googles Sicherheitsabteilung Project Zero hat über sechs Zero-Day-Lecks in iOS informiert, die Apples mobiles Betriebssystem via iMessage angreifbar machen. Project Zero veröffentlichte Details und Demo-Exploit-Codes für fünf der sechs Sicherheitslücken, da diese bereits in der aktuellen iOS-Version 12.4 behoben sind. Hinsichtlich eines der Lecks hält sich Google aber noch mit Informationen zurück. Der Grund: Apple hat das Problem bislang nicht vollständig gelöst.


iOS 12.4 schließt fünf der sechs Sicherheitslücken
Vier der sechs Sicherheitsprobleme können Googles Experten zufolge dazu führen, dass schädlicher Code auf einem iOS-Gerät ausgeführt wird. Da der Angriff per iMessage aus der Ferne erfolgt, ist keine physische Interaktion des Angreifers mit dem betroffenen iPhone oder iPad vonnöten. Es reicht bereits, eine entsprechend präparierte iMessage-Nachricht zu verschicken. Wenn der jeweilige Nutzer die Nachricht öffnet, wird der Schadcode ausgeführt. Es empfiehlt sich demzufolge für Apple-Nutzer dringend, ihre iDevices auf den aktuellsten Betriebssystem-Stand zu bringen.

Bezeichnungen der Bugs
Google führt die vier iOS-Bugs unter folgenden Bezeichnungen: CVE-2019-8647, CVE-2019-8660, CVE-2019-8662 und CVE-2019-8641. Zur letztgenannten Variante gibt es noch keine konkreten Informationen, da Apple die Lücke in iOS 12.4 nicht vollständig gestopft hat. Alle iDevices sind demzufolge nach wie vor über das Sicherheitsleck angreifbar, selbst wenn der jeweilige Nutzer die aktuelle Version von iOS einsetzt.

Die fünfte und sechste Sicherheitslücke sind als CVE-2019-8624 und CVE-2019-8646 verzeichnet. Die Lücken ermöglichen es Angreifern, Daten vom Speicher eines iPhones oder iPads über ein externes Gerät auszulesen. Auch hier dringen die Schädlinge via iMessage ein.

Lecks im Wert von mehreren Millionen US-Dollar
Die Google-Sicherheitsforscher Natalie Silvanovich und Samuel Groß spürten die iOS-Bugs auf. Auf dem Schwarzmarkt könnten solche Sicherheitslücken pro Stück deutlich über eine Million US-Dollar einbringen, so Silvanovich. Der Wert der vorgestellten Sicherheitslecks liege entsprechend deutlich über fünf Millionen US-Dollar. Sicherheitsexperten von Crowdfense gehen sogar davon aus, dass der potenzielle Preis für jeden der sechs Bugs zwischen zwei und vier Millionen US-Dollar liegt.