1038288

Warnung vor PDFs auf dem iPhone

05.08.2010 | 18:45 Uhr |

Mit einer Extraausgabe warnt das Bundesamt für Sicherheit in der Informationstechnik vor zwei Sicherheitslücken beim iPhone, iPod Touch und dem iPad - und das zu recht.

Seit Mittwoch (4. August 2010) warnt das BSI (Bundesamt für Sicherheit in der Informationstechnik) vor zwei schweren Lücken in Safari auf dem iPhone , iPod Touch und iPad. Kombiniert man beide Lücken, lässt sich damit Software unbemerkt auf dem iPhone installieren. Um den Mechanismus auszulösen, genügt es eine präparierte PDF-Datei aus dem Internet zu laden. Wer die Sicherheitslücke in Aktion sehen will (nur empfehlenswert bei einem Backup aller Daten vom iPhone; außerdem empfehlen wir dringend danach das iPhone zu löschen und mit iTunes wiederherzustellen), kann die Internetseite "jailbreakme.com" mit dem iPhone aufrufen: Dann genügt eine Fingerbewegung, um das Betriebssystem des iPhone zu verändern und alle Sperrmechanismen zu entfernen ("jailbreak").

Der Jailbreak per Web – komfortabel, aber Hinweis auf eine hochkritische Sicherheitslücke.
Vergrößern Der Jailbreak per Web – komfortabel, aber Hinweis auf eine hochkritische Sicherheitslücke.

Die Analyse zeigt, dass der gefährliche Download eine PDF-Datei ist, die als Bild im Browser geladen wird. Wenn der Browser auf dem iPhone versucht, dieses Bild darzustellen, lädt er eine geschickt konstruierte Anweisung im Inneren der PDF-Datei, die vorgibt, eine bestimmte Schrift zu laden. Die Konstrution dieser Schrift bringt aber zuerst das PDF-Hilfsprogramm und dann den Browser zum Absturz und nutzt diesen Moment, um weitere Software aus dem Internet zu laden.

Bei der Internetseite "jailbreakme.com" ist die Software harmlos, die nach dem Absturz des Browsers geladen wird (es handelt sich um das Zusatzprogramm "Cydia" und um einige Hintergrundsoftware, die die Sicherheitsmechanismen des iPhone ausschalten), doch der Mechanismus an sich kann von einem Hacker auch dazu genutzt werden, um eine beliebige Software auf das iPhone zu übertragen. Zum Beispiel Software, die alle E-Mail-Kennworte ermittelt und auf einem Server speichert oder eine Software, die heimlich die Kamera aktivieriert oder einen SMS-Sniffer, der alle Kurznachrichten mitliest.

Derzeit keine Abhilfe

Richtigen Schutz gibt es im Moment keinen. In der Empfehlung des BSI findet sich deshalb auch nur der vage Hinweis, man solle größte Vorsicht beim Klick auf Internet-Links walten lassen und sich nur auf vertrauenswürdigen Seiten bewegen.

Mehrere Meldungen (unter anderem beim BSI) weisen darauf hin, dass Apple derzeit an einem Update für Safari beziehungsweise für die PDF-Software arbeitet, einen konkreten Termin aber konnte die Firma bis Redaktionsschluß nicht nennen.

Nach unseren Tests ist man mit dem Browser Opera Mini etwas besser geschützt, da dieser Browser eine PDF-Datei erst nach einer Rückfrage lädt. Gerät man also mit Opera Mini auf eine Internetseite, die unerwartet versucht, eine PDF-Datei zu laden, sollte man höchste Vorsicht walten lassen.

0 Kommentare zu diesem Artikel
1038288