2612618

Sicherheit in iOS 15: Face-ID-Lücke geschlossen

21.09.2021 | 11:40 Uhr | Peter Müller

iOS 15 und das korrespondierende iPadOS 15 bekommen nicht nur jede Menge neue Funktionen. Apple schließt dazu etliche Sicherheitslücken. Die in Face-ID war besonders kritisch.

Die gestern Abend veröffentlichten Betriebssysteme iOS 15 und iPadOS 15 bringen nicht nur etliche neue Funktionen, sondern auch eine lange Reihe von Sicherheitsupdates, die Apple ausführlich in einem Support-Dokument beschreibt und gegebenenfalls die CVE-Nummer der Lücke angibt.

Vermutlich am spektakulärsten ist dabei eine nun geschlossene Sicherheitslücke in Face-ID: Mit einem 3D-Modell des legitimen Besitzers hat man die Face-ID von iPhone auf iPhone X und iPad Pro ab Modelljahr 2018 austricksen können. Entdeckt hat die Lücke mit der Nummer CVE-2021-30863 der Sicherheitsforscher Wish Wu von Ant-financial Light-Year Security Lab, der zuvor auch schon behauptet hat, mit einem Foto der Person und etwas Klebeband die Gesichtserkennung übertölpeln zu können.

Lückenschlüsse in vielen Komponenten

Auch nicht ungefährlich klingt die CVE-2021-30838, die einen Fehler in der Neural Engine von Geräten mit A12 Bionic und neuer betrifft. Über Speicherkorruption könne es mit bösartigen Applikationen gelingen, Fremdcode auszuführen. Für Ausnutzen der Lücke in CoreML hätte ein Angreifer Zugriff auf das Gerät haben müssen, um Apps zum Absturz zu bringen oder Schadcode auszuführen.

Gleich vier Lücken in WebKit sind durch iOS 15 und iPadOS 15 ebenso behoben sowie weitere Schwachstellen in Siri, WiFi dem Font Parser, ImageIO, Kernel, Preferences und weiteren Komponenten. Eine ausführliche Dokumentation hat Apple auf seiner Site veröffentlicht.

Die meisten der aufgeführten Lücken hat Apple bereits mit iOS 14.8 und iPadOS 14.8 in der letzten Woche behoben , die in Face-ID jedoch nicht. Ein separates Sicherheitsupdate für iPhones und iPads, die noch auf dem letzten System verweilen, ist bisher nicht erschienen.

Apple Card wird noch sicherer

Kein Lückenschluss, sondern eine neue Sicherheitsvorkehrung kommt mit iOS 15 für die Apple Card, die weiterhin in Deutschland nicht verfügbar ist. Im Rahmen der Advanced Fraud Protection ändert sich der dreistellige Sicherheitscode nach jeder Bezahlung respektive jedem Aufruf in der Wallet oder dem automatischen Ausfüllen in Safari. Für Abonnements bedeutet das in der Regel keine Probleme, da die Anbieter nur bei der ersten Bezahlung nach dem Sicherheitscode fragen und danach die Kreditkarte ohne diesen belasten. Diese erweiterte Sicherheitsfunktion lässt sich auf Wunsch auch deaktivieren.

Macwelt Marktplatz

2612618