Google überrascht Apple iPhone-, iPad- und Mac-Nutzer: „Zahlreiche neue Schwachstellen“ aufgedeckt
Google hat es anscheinend wieder getan. Letztes Jahr sorgten die elitären Project Zero-Fehlerjäger des Tech-Riesen für Aufsehen in den Medien, als sie Sicherheitslücken in Apple iOS aufdeckten, durch die Geräte gehackt werden konnten. Es stellte sich heraus, dass die Hacks – die China angelastet wurden – nicht nur auf Apple beschränkt waren, und Google musste einige Kritik einstecken. Jetzt hat dasselbe Google-Team eine weitere überraschende Enthüllung veröffentlicht, die sich auf das Apple-Ökosystem konzentriert und sich mit grundlegenden Schwachstellen befasst, die Angreifern einen Einstiegspunkt bieten könnten.
Der Zeitpunkt für Googles Bericht mit dem verlockenden Titel „Fuzzing ImageIO“ ist ebenso interessant wie der Inhalt. In der letzten Woche haben zwei Apple-Sicherheitsprobleme weltweit für Schlagzeilen gesorgt. Zunächst ein Sicherheitsbericht, der behauptet, dass Apples eigene Mail-App mit einer bösartig gestalteten E-Mail zum Absturz gebracht werden kann, was eine Hintertür für weitere Angriffe öffnet, und dann die natürlich virale Textbomben-Geschichte.
MEHR VON FORBESBeware-This Malicious New iPhone ‚Text Bomb‘ Crashes iOS 13: Here’s What You DoBy Zak Doffman
Der gemeinsame Nenner mit diesen jüngsten Geschichten ist die Warnung, dass grundlegende Systemverarbeitung ausgenutzt werden kann. Durch das Auslösen einer unerwarteten Software-Reaktion auf einem Gerät können die normalerweise gesperrten Steuerelemente dazu gebracht werden, sich unvorhersehbar zu verhalten. Und das öffnet die Tür für einen Angriff, der oft über einen völlig anderen Vektor erfolgt. Interessant ist, dass selbst die grundlegenden Funktionen, die von Milliarden Menschen genutzt werden, wie E-Mail und Messaging, das Potenzial haben, eine Hintertür zu öffnen.
Und genau dieses Thema wurde gestern (28. April) von Googles Project Zero-Team gemeldet, das „zahlreiche neue Schwachstellen aufgedeckt hat, die inzwischen behoben wurden.“ Die Schwachstellen werden als „eine alte Art von Problem“ beschrieben, das auf Mediendateien abzielt, die über Messaging-Plattformen im ImageIO-Framework gesendet werden. Laut Googles Bericht wurden mehrere Schwachstellen „gefunden, an Apple oder die jeweiligen Betreiber von Open-Source-Bilderbibliotheken gemeldet und anschließend behoben“
Aus Sicht des Benutzers sind Sie also geschützt, wenn Sie Ihr Betriebssystem aktualisiert haben, wie Sie es immer tun sollten. Nun, so einfach ist es nicht. Google warnt, dass die aufgedeckten Schwachstellen zwar nicht ausreichen, um eine Übernahme des Geräts oder eine schwerwiegende Datenexfiltration zu ermöglichen, dass aber „einige der gefundenen Schwachstellen bei ausreichendem Aufwand in einem Angriffsszenario ausgenutzt werden können.“ Und das ist im Grunde die Art von Risiko, die für Apples Mail-Schwachstelle geltend gemacht wird. Darüber hinaus warnt Google aber auch, dass „es wahrscheinlich ist, dass andere Fehler bestehen bleiben oder in Zukunft eingeführt werden.“
MEHR VON FORBESBeware-This Malicious New iPhone ‚Text Bomb‘ Crashes iOS 13: Here’s What You DoBy Zak Doffman
Technisch gesehen ist die Verwendung von Bildern zur Aufdeckung von Schwachstellen nicht ungewöhnlich. In den letzten Monaten gab es Berichte, die sich auf beliebte Messaging-Plattformen auswirkten und genau das taten. Wenn ein Bild empfangen wird, muss das Gerät die Daten analysieren, um herauszufinden, wie es verwaltet und angezeigt werden soll – mit welchem Lesegerät und mit welchen Parametern. Das meiste, was wir verschicken, sind gewöhnliche JPEGs, GIFS oder PNGs, aber, so Google, „es gibt auch zahlreiche eher exotische Bilder“.
Google testete Apples Sicherheit, indem es Bilder fuzzelte, d.h. die Daten im Wesentlichen zufällig anordnete, so dass das Gerät nicht wusste, wie es damit umgehen sollte, und möglicherweise bei dem Versuch scheiterte. Der Ansatz von Google sollte nicht erschöpfend sein, sondern nur zur Veranschaulichung dienen, und es wurde darauf hingewiesen, dass eine ausgefeiltere Version desselben Ansatzes möglicherweise bessere Ergebnisse erzielt hätte. Sie haben das Image Fuzzing nicht mit anderen Exploits weiterverfolgt, um aus dem anfänglichen Misserfolg einen Vorteil zu ziehen.
Eine ganze Reihe von Schwachstellen wurde gefunden, offengelegt und gepatcht – so der Bericht. Google empfiehlt den Anbietern, „kontinuierliche Fuzz-Tests“ durchzuführen, und empfiehlt außerdem, dass Messaging-Plattformen alle außer den gängigsten Bildformaten ablehnen, „zumindest für Nachrichtenvorschauen, die keine Interaktion erfordern.“ Je weniger Spielraum für Angriffe, desto besser, und wie das Team betont, „würde dies die Angriffsfläche von etwa 25 Bildformaten auf nur eine Handvoll oder weniger reduzieren.“
Diese Probleme würden alle Apple-Betriebssysteme vor dem Patching betreffen. Die Nutzung dieser Art von Angriffsvektor, um ein Gerät angreifbar zu machen, bevor es angegriffen wird, ist häufig ein zentrales Element ausgeklügelter Cyberangriffe, selbst auf nationalstaatlicher Ebene. Bedrohungsgruppen bevorzugen Exploits, bei denen sie sicher sein können, dass sie auf den Zielgeräten ausgeführt werden können, weshalb sie sich auf die Verarbeitung von Kern-Betriebssystemen oder Hyper-Scale-Plattformen wie WhatsApp konzentrieren.
In der Zwischenzeit wird Apple hoffen, dass damit ein paar ziemlich hektische Tage mit Sicherheitsenthüllungen zu Ende gehen. Das Unternehmen hat diese Probleme gepatcht und ist dabei, dasselbe mit den Schwachstellen in Mail und Text zu tun. Aber wie immer ist es ein Problem, das Vertrauen der Nutzer zu erschüttern. Und für Apple, das sich selbst mit der Sicherheit seiner Plattform vermarktet, sind solche Geschichten nie gut für die Schlagzeilen der Medien.