Neue Schwachstelle wird aktiv genutzt

iPhone anfällig gegen DoS-Exploit

Der Hype um das iPhone zieht auch Cracker an. Aktuell ist eine Schwachstelle aufgetaucht, über die man mit hilfe einer präparierten Webseite das Telefon abstürzen lassen kann. Ob sich Code einschleusen lässt ist noch nicht bekannt.

Apples iPhone kann beim Besuch einer präparierten Web-Seite zum Absturz gebracht werden, wie Sicherheitsforscher heraus gefunden haben. Sie suchten eigentlich nach einer Möglichkeit Zugang zum Dateisystem des iPhone zu erhalten, auch wenn die aktuelle Firmware-Version 1.1.3 installiert ist. Was sie gefunden haben, ist eine Möglichkeit für einen DoS-Angriff, die eventuell auch das Einschleusen und Ausführen von beliebigem Code erlaubt.

Die wichtigste iPhone-Anwendung, um nach Angriffsmöglichkeiten zu suchen, ist der Web-Browser Safari. Wie Jimmy Shah im Blog der McAfee Avert Labs berichtet, steckt in Safari eine Schwachstelle, die einer bereits im Sommer 2006 entdeckten Sicherheitslücke ähnelt. Damals wurde im Rahmen des Monats der Browser-Bugs eine Anfälligkeit in Firefox 1.5.0.4 veröffentlicht. Basierend auf diesem Demo-Exploit ist es nun gelungen einen stark vereinfachten Exploit für Safari zu entwickeln.

Beim Besuch einer entsprechend präparierten Web-Seite mit dem iPhone wird im Fall des Demo-Exploits noch ein "Go!"-Button angezeigt, bevor der Exploit-Code geladen wird. Wird dieser angeklickt, reagiert das iPhone nicht mehr auf Eingaben und startet nach weniger als einer Minute neu. Bei einem echten Angriff würde die Vorwarnung entfallen.

Zunächst schien es, dass nur die Firmware-Version 1.1.2 des iPhone anfällig sei, inzwischen ist die Funktionsfähigkeit des Exploits auch für die aktuelle Version 1.1.3 bestätigt. Hacker versuchen Sperren im iPhone zu überwinden, um beliebige eigene Anwendungen oder Klingeltöne installieren zu können. Dies würde jedoch auch das Einschleusen von Malware ermöglichen.

Abhilfe schafft das Deaktivieren von Javascript in Safari. Damit würden allerdings auch der Besuch verschiedener legitimer Websites sowie die Nutzung Web-basierter Anwendungen behindert. (PC-Welt/mja)