Informatik

Massive Sicherheitslücke im Apple-iOS

Einfacher Hackerangriff kann zum Absturz der Geräte führen, Update dringend empfohlen

Eine Sicherheitslücke erlaubt es Hackern, iOS-Geräte drahtlos zu hacken und zum Absturz zu bringen. © Secure Mobile Networking Lab/ TU Darmstadt

Absturz auf Kommando: Forscher haben eine erhebliche Sicherheitslücke im Apple-Betriebssystem iOS 12 entdeckt – potenziell sind mehr als eine halbe Milliarde Smartphones und iPads betroffen. Durch diese Schwachstelle können Angreifer die Geräte kabellos und mit einfacher Hardware zum Absturz bringen. Die Experten empfehlen allen Nutzern mobiler Apple-Geräte daher dringend, das soeben erschienene Update 12.1 zu installieren – in ihm ist die Lücke geschlossen.

Dank Smartphones und Tablets sind wir heute nahezu überall erreichbar. Ob Internet, E-Mails, Videos oder andere Daten – die Geräte sind über WLAN und Mobilfunk mit dem Netz und untereinander verknüpft. Doch genau dies öffnet auch eine Vielzahl von Angriffsmöglichkeiten – ob im Mobilfunkstandard, in Apps oder auch im Datenstrom von Fitnessarmbändern und Smartwatches.

Zugriff über Kabellos-Funktion

Die jetzt von Forschern der TU Darmstadt entdeckte Sicherheitslücke betrifft das Apple-Betriebssystem iOS 12. Dieses nutzt Protokolle wie das Apple Wireless Direct Link (AWDL), um den direkten Datenaustausch und die Kommunikation zwischen verschiedenen Apple-Geräten mittels WLAN zu erleichtern. Genau dieses System aber lässt sich offenbar von Hackern leicht überlisten, wie nun Matthias Hollick und sein Team vom Secure Mobile Networking Lab herausgefunden haben.

„Vereinfacht gesagt klingeln wir mittels Bluetooth LE Sturm und das Zielgerät aktiviert dadurch AWDL“, erklärt Hollick. „In einem zweiten Schritt nutzen wir aus, dass Apple die Eingaben, die wir an das Zielgerät schicken, nicht vollständig sauber überprüft.“ Das ermöglicht es einem Hacker, das Gerät mit unsinnigen Eingaben zu fluten. Dadurch kann er das Zielgerät oder auch alle in der Nähe befindlichen Geräte gleichzeitig zum Absturz bringen. „Dabei benötigen wir keinerlei Nutzerinteraktion“, sagt Hollick.

So funktioniert der Angriff auf ein iOS-Gerät© Secure Mobile Networking Lab/ TU Darmstadt

WLAN und programmierbare Platine reicht

Möglich ist ein solcher Angriff schon mit einfacher und überall erhältlicher Ausrüstung: „Um die Bluetooth Brute-Force-Attacke und die nachfolgenden Schritte praktisch durchzuführen, braucht es nicht einmal spezielle Hardware“, erklärt Hollicks Kollege Milan Stute. Es reichen eine Standard-WLAN-Karte und eine für unter 20 Euro erhältliche programmierbare Platine:

„Der Angriff funktioniert mit einer WLAN-Karte eines handelsüblichen Laptops und einem BBC micro:bit – einem preiswerten Bluetooth-fähigen Einplatinencomputer ähnlich einem Raspberry Pi oder Arduino, der ursprünglich als Programmier-Lernplattform für Schulkinder entwickelt wurde“, so Stute. Potenzielle Angreifer haben damit leichtes Spiel, wie die Forscher in Tests demonstrierten. Reihenweise stürzen dadurch die Geräte ab, ohne dass die Wissenschaftler sie dafür auch nur einmal berühren mussten.

iOS-Update 12.1 schließt die Schwachstelle

Die Forscher haben diese Sicherheitslücke bereits vor einiger Zeit an Apple gemeldet, um dem Unternehmen Zeit zu geben, vor Veröffentlichung der Lücke die Schwachstelle zu beseitigen. Es gibt bereits ein Update für iPhones und iPads. Die Wissenschaftler empfehlen Nutzern von mobilen Geräten von Apple daher dringend, das aktuelle iOS-Update 12.1 zu installieren, um die Geräte zu schützen.

Auch wenn die Schwachstelle nur Apple-Geräte betrifft, sollten sich Nutzer mit einem Android-Handy jedoch nicht in Sicherheit wiegen, betonen die Forscher. Denn die gefundene Schwachstelle habe auch Implikationen für die „Nicht-Apple-Welt“. Denn auch das Android-Betriebssystem nutzt einen Standard, das sogenannte Neighbor Awareness Networking (NAN), der auf dem AWDL von Apple aufbaut. Die Forscher erwarten daher, dass ähnliche Schwachstellen in NAN-Implementierungen gefunden werden. (24th Annual International Conference on Mobile Computing and Networking, 2018; Crashing iOS 12 Devices remotely)

(Technische Universität Darmstadt, 31.10.2018 – NPO)

Keine Meldungen mehr verpassen – mit unserem wöchentlichen Newsletter.
Teilen:

In den Schlagzeilen

News des Tages

Skelett eines ungeborenee Kindes

So entstehen die Knochen des ungeborenen Kindes

Astronomen entdecken jüngsten Transit-Planet

Mehr Blackouts durch Wind- und Sonnenstrom?

Parkinson: Wenn mehr Dopamin mehr Zittern bedeutet

Diaschauen zum Thema

Dossiers zum Thema

Bücher zum Thema

Die berechnete Welt - Leben unter dem Einfluss von Algorithmen Von Nora S. Stampfl

50 Schlüsselideen Digitale Kultur - Tom Chatfield und Carl Freytag

Top-Clicks der Woche