Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor den beiden Schwachstellen in Apples Mobilbetriebssystem iOS, die durch die Jailbreak-Website des iPhone-Tüftlers comex ans Tageslicht gekommen sind. Verwundbar sind laut BSI die iOS-Versionen 3.1.2 bis 4.0.1 für das iPhone, iOS 3.1.2 bis 4.0 für den iPod touch sowie iOS 3.2 und 3.2.1 für das iPad. Es sei nicht auszuschließen, dass auch ältere Versionen verwundbar sind.

Die erste Lücke befindet sich im PDF-Viewer und lässt sich zur Einschleusung von Schadcode missbrauchen. Mit Hilfe der zweiten Lücke im Kernel kann sich der Code höhere Rechte verschaffen und aus der Sandbox ausbrechen. Zur Infektion muss man lediglich eine infizierte PDF-Datei öffnen. Das kann auch schon durch einen präparierten Link über Safari oder eine App geschehen. Das BSI rät daher, bis die Lücken geschlossen sind keine PDF-Dateien auf iOS-Geräten zu öffnen und nur vertrauenswürdige Webseiten anzusteuern. Auch Links in Mails und auf Ergebnisseiten von Suchmaschinen solle man kritisch beäugen.

Mögliche Szenarien seien laut einer Mitteilung des BSI der Diebstahl von vertraulichen Daten wie Passwörtern, Terminen, Nachrichten und Kontakten, das Abhören von Telefongesprächen sowie die die Überwachung des Opfers mittels der iPhone-Kamera. Auch die Lokalisierung des Nutzers mittels GPS sei denkbar. Die iOS-Geräte finden auch im geschäftlichen Umfeld großen Anklang und könnten durch die Schwachstelle nach Einschätzung des BSI gezielt dazu genutzt werden, Führungskräfte zu bespitzeln. (rei)

Quelle: Heise.de