Der Pangu genannte und vermutlich in China entstandene Jailbreak nutzt einerseits ein Unternehmenszertifikat, mit dem man beliebig nicht im App Store erhaltene Software auf iOS-Geräte installieren kann und für den tatsächlichen Jailbreak einige Sicherheitslücken, die der Experte Stefan Esser entdeckt aber bisher nur in seinen Seminaren über iOS-Exploits erklärt haben will. Auf Twitter beklagt sich dieser, die Pangu-Macher hätten seine Informationen gestohlen und würden in ihrem Jailbreak seinen Code verwenden. Es müsse mehrere Leaks in seinen Seminaren gegeben haben, damit dies möglich sei.
Woher wiederum das Unternehmenszertifikat stamme, sei nicht sicher, berichtet unsere Kollegen des IDG News Service . Ausgestellt sei es auf eine nicht existente chinesische Firma, ob es von Apple gestohlen ist oder die Hacker es auf legalem Wege erhalten haben, sei nicht klar. Immerhin könne Apple das Zertifikat zurückziehen, um weiteren Schaden zu vermeiden.
Michael Shaulov, CEO der Firma Lacoon Security, zeigt sich aber über die Methodik besorgt. Pangu benötige das Zertifikat zwar nur für einen Jailbreak, mit ähnlichen Methoden könnte man aber weit gefährlichere Malware verbreiten. Auch ließe sich ein Jailbreak als harmlose App verteilen, wer diese nutze, sei sich unter Umständen nicht bewusst, dass er sein iOS-Gerät entsperrt und damit höheren Sicherheitsrisiken ausgesetzt habe.
Autor: Peter Müller, Stellv. Chefredakteur
Peter Müller ist seit 1998 bei der Macwelt und schreibt über alles, was einen Apfel drauf hat – oder wo Apple drin ist.