Anfang November berichtete watson über ein WhatsApp-Video, das iPhones in Serie abstürzen liess. Der Schweizer IT-Sicherheitsexperte Marc Ruef und seine Kollegen von der Scip AG nahmen den verdächtigen Clip unter die Lupe und wiesen Apple auf die Schwachstelle hin, die fast alle iOS-Geräte betraf.
Kürzlich hat Apple die Sicherheitslücke mit dem Software-Update iOS 10.2 geschlossen. watson hat nachgehakt ...
Herr Ruef, Sie haben mit anderen IT-Sicherheitsexperten der Scip AG das fehlerhafte Video untersucht. Wie gravierend ist bzw. war die Sicherheitslücke aus Ihrer Sicht?
Marc Ruef: Destruktive Angriffe, bei denen Software zum Absturz gebracht werden kann, sind in der Regel eher unspektakulär. In diesem Zusammenhang war es aber interessant zu sehen, dass nicht nur die betroffene App, sondern das ganze Gerät zum Absturz gebracht werden kann. Dadurch erschliesst sich ein Mehr an Möglichkeiten, wodurch die Schwachstelle für einen weiten Kreis von Angreifern interessant wird.
Kommt so etwas häufig vor?
Wir werden dafür bezahlt, Schwachstellen in Systemen zu finden und stehen deshalb regelmässig mit verschiedenen Herstellern in Kontakt. Schliesslich sind wir alle darum bemüht, dass Schwachstellen geschlossen und damit die Qualität von Software verbessert werden kann.
Nun hat Apple die Sicherheitslücke mit dem neusten Software-Update (iOS 10.2) laut Ankündigung geschlossen. Ist damit alles in Butter?
Wir konnten das Problem im Grafiktreiber in der ursprünglichen Form
nicht mehr nachvollziehen. Grafiktreiber sind heutzutage sehr komplex
und es ist als Aussenstehender schwierig zu sagen, ob nicht eine
Variante des Angriffs oder ein anderweitiges Problem verbleibt. Die
100-prozentig fehlerfreie und damit sichere Software gibt es praktisch nicht.
Aus Sicht des Laien war ja eindrücklich, dass das Video alle möglichen iOS-Geräte, respektive auch ältere Software-Versionen bis hinunter zu iOS 5 abstürzen liess. Kommen solche generellen Software-Fehler häufig vor?
Wir beobachten die Auswirkungen verschiedener Angriffstechniken sehr
genau. Oftmals betreffen diese eine bestimmte Plattform oder Generation
eines Produkts. Dass hier tatsächlich eine solch weitreichende Wirkung
zu beobachten war, ist eher unüblich. Dies zeugt davon, dass der
betroffene Code seit Generationen durch Apple eingesetzt wird. Bei Apple
ging man also davon aus, dass er sich bewähren würde.
Es ist üblich, dass Apple die Hinweisgeber, die das Schliessen von gefährlichen Schwachstellen ermöglichen, im sogenannten Advisory namentlich erwähnt. Warum hat das zunächst nicht geklappt?
Wir hatten uns nach Rücksprache mit watson direkt bei Apple gemeldet, um sie bei der Behebung des Problems zu unterstützen. Mit dem Erscheinen der
neuen iOS-Version haben wir das Advisory zugestellt bekommen, dass unser
Problem behoben worden sei. Dass in der ersten Fassung eine namentliche
Erwähnung ausblieb, ist schlichtweg auf ein Ungeschick zurückzuführen:
Man hat es seitens Apple einfach vergessen.
Nun hat Apple reagiert und gibt die «Credits» für das Melden der Schwachstelle uns sowie einer weiteren Person (siehe Screenshot oben). Dürfen wir uns nun auf eine Belohnung freuen?
Apple hat tatsächlich diesen September ein «Bug Bounty»-Programm ins Leben
gerufen: Researcher werden finanziell entlöhnt, wenn sie eine
Schwachstelle melden. Momentan ist dies aber nur auf Einladung von Apple
hin möglich. Und die Schwachstelle muss gewisse Anforderungen erfüllen.
In diesem Fall gehen wir alle leider leer aus.
Was wäre die Schwachstelle wohl auf dem Schwarzmarkt wert gewesen? 😉
Exploits für iOS-Geräte erzielen auf dem Schwarzmarkt momentan die
besten Preise. Unserem Berechnungsmodell zur Folge hätten durchaus
25'000 US-Dollar drin liegen können. Sofern denn jemand Interesse daran gehabt
hätte.
Das Interview wurde schriftlich geführt.
[ ] 💰💰💰💰💰💰💰
[ ] ehrlich bla bla 😒
[ ] Gar nix 🐒
[X] ein Samsung (oder irgend ein anderes Android-Gerät) gekauft :D