Zero-Day-Lücke in iOS entdeckt
Zero-Day-Lücke in iOS entdeckt
(Quelle: Pixabay/Thedigitalartist)
23. April 2020 -
Sicherheitsforscher haben eine Zero-Day Lücke in Apples Betriebssystem iOS gefunden. Diese betrifft die Mail App und soll schon seit 2018 aktiv ausgenutzt worden sein, um iPhones zu infizieren. Apple wird die Lücke in einer kommenden Version von iOS 13 schliessen.
Dem US-amerikanischen Security Start-up Zecops ist ein seltener Fang gelungen. Die Sicherheitsforscher des Unternehmens wollen nämlich eine Zero-Day-Lücke in Apples Betriebssystem iOS gefunden haben. Wie sie in einem Blog-Beitrag erklären (via "Vice"), seien bei einer Untersuchung eines Vorfalls zwei Exploits der gleichen Sicherheitslücke ans Tageslicht gekommen, welche die Mail App von iOS betreffen und offenbar schon seit 2018 bestehen.
Die Schwachstelle ermöglicht es einem Angreifer, ein Gerät aus der Ferne zu infizieren und Code darauf auszuführen. Benötigt wird dafür lediglich eine E-Mail, die eine erhebliche Menge an Speicher verbraucht, so die Sicherheitsforscher. Die Methode wurde offenbar auch bereits angewendet, um hochrangige Persönlichkeiten, Journalisten, Unternehmen und IT-Dienstleister in den USA, Japan, Deutschland, Saudi Arabien, Israel sowie in der Schweiz anzugreifen. Dass die dafür benutzten E-Mails von den Cyberkriminellen nach den Angriffen offenbar gelöscht wurden, legt laut Zecops die Vermutung nahe, dass es sich dabei um staatliche Hacker handelte. Apple wird die beiden Lücken in Version 13.4.5 von iOS beheben. (luc)
Die Schwachstelle ermöglicht es einem Angreifer, ein Gerät aus der Ferne zu infizieren und Code darauf auszuführen. Benötigt wird dafür lediglich eine E-Mail, die eine erhebliche Menge an Speicher verbraucht, so die Sicherheitsforscher. Die Methode wurde offenbar auch bereits angewendet, um hochrangige Persönlichkeiten, Journalisten, Unternehmen und IT-Dienstleister in den USA, Japan, Deutschland, Saudi Arabien, Israel sowie in der Schweiz anzugreifen. Dass die dafür benutzten E-Mails von den Cyberkriminellen nach den Angriffen offenbar gelöscht wurden, legt laut Zecops die Vermutung nahe, dass es sich dabei um staatliche Hacker handelte. Apple wird die beiden Lücken in Version 13.4.5 von iOS beheben. (luc)