Apple könnte schwerwiegende SMS-Schwachstellen auf dem iPhone patchen

Der fragliche theoretische Angriff nutzt eine Schwachstelle in der Art und Weise, wie iPhones mit SMS empfangene SMS verarbeiten Message Service), sagte der Sicherheitsforscher Charlie Miller während einer Präsentation auf der SyScan Konferenz in Singapur am Donnerstag. Er gab keine detaillierte Beschreibung der SMS-Schwachstelle.

Miller ist eine Autorität auf MacOS X-Sicherheit und ist ein Co-Autor von The Mac Hacker's Handbook.

[Lesen Sie weiter: Die besten Android-Handys für jeden Budget.]

Ein SMS-Fehler kann es einem Angreifer ermöglichen, Softwarecode auf dem Telefon auszuführen, das per SMS über das Netzwerk eines Mobilfunkanbieters gesendet wird. In Millers Fall scheint er den Fehler, den er gefunden hat, zu nutzen, um ein iPhone fernzusteuern, ein Zeichen, dass ein ernsthafterer Angriff möglich ist.

Wenn ja, könnte der bösartige Code theoretisch Befehle enthalten, um den Standort des Telefons zu überwachen GPS, das Mikrofon des Telefons einschalten, um Gespräche zu belauschen, oder das Telefon einem verteilten Denial-of-Service-Angriff oder einem Botnet beitreten, sagte Miller

Miller meldete die Sicherheitsanfälligkeit bei Apple und hoffte, dass es repariert wird. Er plant, den Fehler während einer geplanten Präsentation auf der Black Hat USA Konferenz in Las Vegas weiter zu diskutieren.

Trotz der SMS-Schwachstelle ist die abgespeckte Version von MacOS X im iPhone sicherer als Computer, auf denen alles läuft "

Zunächst einmal bietet die abgespeckte Version des Betriebssystems weniger Optionen für Angreifer, indem Anwendungen und Funktionen wie die Unterstützung von Adobe Flash und Java entfernt werden, für die sie andernfalls möglicherweise ausgenutzt werden könnten Sicherheitslücken. Darüber hinaus enthält das iPhone einen Hardwareschutz für gespeicherte Daten, und das Telefon ist nur für die Ausführung von Softwarecode vorgesehen, der von Apple digital signiert wurde.

Das iPhone erfordert außerdem die Ausführung von Anwendungen in einer Sandbox, einer Sicherheitsfunktion, die isoliert sie von anderen Anwendungen und beschränkt ihren Zugang zu den Fähigkeiten des Telefons. Aber SMS bietet eine Möglichkeit für Angreifer, mehr Zugriff auf die Fähigkeiten des Telefons zu bekommen, sagte Miller.

"SMS ist ein großartiger Vektor, um das iPhone anzugreifen."

Am häufigsten verwendet, um kurze Textnachrichten zwischen Zelle zu senden Telefone können SMS auch Binärcode an ein iPhone senden, das dann den Code ohne Benutzerinteraktion verarbeitet. Jede SMS-Nachricht ist auf 140 Bytes begrenzt, aber längere Sequenzen können als mehrere Nachrichten an das Telefon gesendet werden, die automatisch wieder zusammengesetzt werden.

Diese Funktion ermöglicht es, größere Programme an ein Telefon zu senden, sagte Miller.

Sicherheitslücken in der SMS-Funktion des iPhones geben einem Angreifer Root-Zugriff auf das Mobilteil, sagte Miller. Das ist bei den anderen Anwendungen des iPhones nicht der Fall, beispielsweise bei Browsern, bei denen ein Angreifer nur durch die Sicherheitslücken auf die Sandbox der Anwendung zugreifen kann.

"Das iPhone ist sicherer als OS X, aber SMS könnte eine kritische Schwachstelle sein", Miller sagte.

Anmerkung des Redakteurs: Dieser Bericht wurde am 5. Juli aktualisiert, um den falschen Bericht zu korrigieren, dass Apple einen Fehler in der Art und Weise, wie das iPhone SMS-Nachrichten handhabt, behebt. Es gibt keine Bestätigung, dass eine solche Lösung in Arbeit ist, obwohl der Forscher, der den Fehler gefunden hat, hofft, dass es behoben wird.