Apple schließt Sicherheitslücke
Apple iPhone Firmware 3.0.1 stopft SMS-Lücke
Apple hat heute die bei der SMS-Verarbeitung am iPhone auftretende Sicherheitslücke in einer neuen Firmware-Version 3.0.1 geschlossen.
Mit der neuen Firmware 3.0.1 für das iPhone reagiert Apple auf eine Sicherheitslücke beider Verarbeitung von SMS. Die Sicherheitslücke wurde auf der Hacker-Konferenz Black Hat erstmals vorgestellt. Dort wurde in mehreren Vorträgen gezeigt, wie das iPhone und weitere Smartphones per SMS angegriffen werden können.
- Verschiedene Mail-Provider sind vorkonfiguriert.
- Push-Mail: Firmenkunden können ihr Gerät mit Exchange kopplen....
- ... dort lässt es sich auch verwalten
- Je nach Sicherheitseinstellungen verlangt der Exchange-Server einen zusätzlichen Code.
- Der E-Mail-Eingang
- Anhänge werden ab einer gewissen Größe erst auf Wunsch nachgeladen.
- Die E-Mail Einstellungen
- Wird das Gerät verlegt, lässt es sich löschen.
- Der Wipe wird per Mail bestätigt
- Dumm: Koppelt man das iPhone mit einem Exchange-Server, werden die lokalen Kontakte gelöscht.
- Unpraktisch: Das iPhone 3G ist kein Wechseldatenträger, Inhalte erhält es nur via iTunes oder über das Netz.
- Königsdisziplin: Das iPhone ist das beste Smartphone, um unterwegs im Web zu surfen.
Dazu musste ein Angreifer Teile einer Multi-Part-SMS an das Angriffsziel schicken. Dadurch kann es zu einen Überlauf des Heaps auf dem iPhone kommen und der Program Counter manipuliert werden. Theoretisch kann mit dieser Methode beliebiger Code auf dem iPhone ausgeführt werden. Tatsächlich gezeigt wurde aber bisher auf der Black Hat Konferenz ein gezielter Absturz. (mst)