Apples Videotelefonie-App Facetime hat ein Problem – oder besser gesagt hatte ein Problem. Wie heise.de berichtet, wurde es Hackern durch eine Sicherheitslücke möglich, allein durch einen Videoanruf das iPhone, iPad oder den Mac der Opfer abstürzen zu lassen. Entfernte Angreifer könnten per Video-Anruf im schlimmsten Fall auch Schadcode einschleusen, um so die Apple-Geräte zu kapern.
«Nutzer sollten daher dringend Apples jüngste Softwareaktualisierungen für iPhone, iPad und Mac einspielen, um sich vor einer gravierenden Schwachstelle in Facetime zu schützen», schreibt das deutsche Tech-Portal Heise.
Apple hat die Sicherheitslücke in der vergangenen Woche mit iOS 12.1 und macOS 10.14.1 Mojave geschlossen. Mac-Nutzer erhalten ab macOS 10.12 ein Sicherheitsupdate.
«Für iOS 11 oder älter liegt kein Update vor. Sicherheits-Updates für ältere iOS-Versionen sind eine absolute Seltenheit», schreibt Heise. Stand heute laufen rund 67 Prozent aller iPhones und iPads mit iOS 12. Davon laufen aber noch nicht alle mit der sicheren Version 12.1. Mindestens ein Drittel der iOS-Nutzer hat das neuste Sicherheits-Update 12.1 also noch nicht installiert oder kann es aufgrund veralteter Hardware nicht installieren. Letztere können sich wohl nur schützen, indem sie Facetime auf ihrem Gerät mit iOS 11 oder tiefer nicht mehr nutzen.
Im Moment könnten Hacker theoretisch jedes dritte iOS-Gerät mit veraltetem Betriebssystem per Facetime-Anruf angreifen. In absoluten Zahlen entspricht dies rund 400 Millionen iPhones und iPads, die trotz Apples Sicherheits-Update noch verwundbar sind. Grund zur Panik besteht dennoch nicht, zumal noch keine konkreten Angriffe bekannt sind.
Entdeckt wurde die Schwachstelle in Facetime von IT-Sicherheitsforscherin Natalie Silvanovich, die bei Googles Project Zero arbeitet. Dabei handelt es sich um ein Team von Google-Sicherheitsexperten, die regelmässig Schwachstellen in den eigenen Betriebssystemen, aber auch in der Software von Apple und anderen Firmen aufspüren.
Natalie bricked a room full of Apple engineer's phones when they asked her to help repro this! 😆Answer a FaceTime call from an attacker, and remote iOS kernel memory corruption.... https://t.co/3aFWcOMWs2
— Tavis Ormandy (@taviso) 5. November 2018
IT-Sicherheitsexpertin Silvanovich hat Apple die Schwachstelle vor über 90 Tagen gemeldet. Nach dieser Frist macht Google in der Regel gefundene Lücken öffentlich. Deshalb hat Silvanovich nun konkrete Angriffsmethoden im Netz veröffentlicht, die zeigen, wie noch nicht aktualisierte iPhones, iPads und Macs per Facetime-Anruf zum Absturz gebracht werden können. Böswillige Hacker könnten auch grösseren Schaden anrichten.
Die Schwachstelle erinnere an eine kritische Sicherheitslücke bei WhatsApp, die Anfang Oktober entdeckt wurde, schreibt Heise. Damals konnten Hacker per WhatsApp-Videoanruf Smartphones kapern, die das neuste WhatsApp-Update nicht installiert hatten. Auch diese Lücke wurde von Natalie Silvanovich von Googles Project Zero entdeckt.
(oli)
