| iMessage |  |
>Wie kann sich eine Software über eine unsichtbare Kurznachricht (WTF!?) installieren und wie kann diese Software dann auch noch volle Kontrolle über das jeweilige Smartphone bekommen? Das stinkt doch nach offizieller Hintertür, die die Hersteller in ihren Geräten vorgehalten haben (bzw. vorhalten mussten).
Ich hatte nur kurz dazu nachgelesen, aber so wie es aussieht, gibt es zwei Angriffspunkte. Einen über einen klickbaren Link, auf den die Leute stumpf reinfallen müssen und einen sogenannten Zero-Click-Exploit, bei dem der User gar nichts tun, sondern nur die Nachricht erhalten muss, damit das Kind im Brunnen liegt. Gegen Letzteren sollen sogar iPhones anfälliger sein als Android-Geräte. Selbst mit aktuellem iOS 14.6.
Der Einfallspunkt dort ist angeblich eine Schwachstelle in iMessage. Das hat Apple zwar seit iOS 14.0 in einer Sandbox laufen ("BlastDoor"), aber für das automatische Anzeigen von Bildern und Videos werden zusätzliche Frameworks verwendet (die anscheinend auch von Apple programmiert wurden, keine 3rd Party Tools). Gerade das für die Anzeige der Bilder genutzte Framework ("ImageIO") soll durch dessen Komplexität vor Problemen strotzen. Allein dieses Jahr wurden für ImageIO wohl schon über ein Dutzend schwerwiegende und sicherheitsrelevante Bugs gemeldet.
Anscheinend können Angreifer mit entsprechendem Virus-Payload versehenes Bild (in den Binär- oder Metadaten versteckt oder was weiß ich) an das iPhone der Zielperson schicken, dabei eine Schwachstelle in der Apple-ImageIO-Bildverarbeitung ausnutzen und dabei komplett aus der BlastDoor-Sandbox ausbrechen. Keine Ahnung, was in Tokens Ausgangsposting mit "unsichtbare Textnachricht" gemeint ist; vielleicht sind die eigentlichen Bild-Daten absichtlich korrupt, so dass erst gar kein Bild oder vielleicht nur eine leere Nachricht plus Uhrzeit angezeigt wird, der Virus-Payload aber ausgeführt wird.
Klingt ziemlich bitter, gerade für Apple, die doch immer so auf die Sicherheit ihrer Geräte pochen. Gleichzeitig muss man aber auch erwähnen, dass das hier geradezu Designer-Spyware ist (wohl gerade ein besorgniserregender Trend, der nur schlimmer werden kann), deren Entwicklung ein Heidengeld kostet und zeitkritisch nur gegen "interessante" Personen (Politiker, Journalisten, Unternehmensführung, Kriminelle) eingesetzt werden dürfte, bevor der Exploit bekannt und geschlossen wird. Was es jetzt nicht groß besser macht, aber das Telefon von Hinz und Kunz sollte sowas normalerweise eben auch nicht treffen.
Es klingt aber spontan auch so für mich, als ob sie vielleicht das automatische Parsen von Bild- und Video-Dateien zumindest für unbekannte Kontakte deaktivieren sollten.