Mit der gestrigen Veröffentlichung von iOS 14.4 und allen anderen Betriebssystemen hat Apple seine typischen Fehlerkorrekturen aufgenommen. Apple räumt jedoch ein, dass iOS 14.4 drei Sicherheitslücken behebt, die laut Angaben des Unternehmens “aktiv ausgenutzt werden könnten”. Dies ist das erste Mal, dass Apple ausdrücklich bestätigt, dass eine Sicherheitslücke geschlossen wurde, die bei einem böswilligen Angriff ausgenutzt werden könnte.
Safari- und Kernel-Fehler wurden mit iOS 14.4 behoben
Im Sicherheitsdokument für iOS 14.4 Hierkönnen Sie die Beschreibung der drei mit dem Update behobenen Fehler sehen. Sie sind wie folgt:
CVE-2021-1782: Eine böswillige Anwendung kann auf erhöhte Berechtigungen im Kernel zugreifen.
CVE-2021-1870 und CVE-2021-1871: Ein entfernter Angreifer kann die Ausführung von beliebigem Ausführungscode in Webkit verursachen.
Der Kernel ist ein grundlegender Bestandteil des Betriebssystems, mit dem der Rest der Software auf die Hardware zugreifen kann. Webkit ist die von Apple für Safari entwickelte Browser-Engine, die sowohl unter macOS als auch unter iOS verwendet wird. Oft verwendet ein Hacker mehrere Fehler in einer Kette, um Zugriff auf ein Gerät zu erhalten. In diesem Fall haben wir zwei „Schlüssel“ zum Einsteigen und eine „Tür“ zum Zugang.
Es ist nicht bekannt, ob es gegen einen oder mehrere Benutzer verwendet wurde oder ob es in großem Umfang ausgenutzt wurde. Der Sicherheitshinweis selbst besagt jedoch, dass „weitere Details in Kürze verfügbar sein werden“.
Ein anonymer Forscher könnte belohnt werden
In den Sicherheitshinweisen für eine neue Softwareversion gibt Apple normalerweise die Person oder das Team an, die bzw. das sie gefunden hat. Wenn keine direkte Zuordnung angezeigt wird, wird davon ausgegangen, dass sie von ihrem eigenen Team behoben wurde. In diesem Fall werden die drei Fehler jedoch einem „anonymen Forscher“ zugeordnet.
In der Welt der Hardware- und Softwaresicherheit ist es üblich, solche Fehler öffentlich bekannt zu machen, sobald das Unternehmen kontaktiert und die Fehler behoben wurden. Auf diese Weise gewinnen Sie Relevanz und Prestige unter Kollegen, als wäre es eine neue Lebenslaufzeile. Aus diesem Grund ist die Anonymität der Person oder Gruppe, die die drei Fehler bekannt gemacht hat, noch auffälliger.
Es sei daran erinnert, dass jedes Update Fehler behebt, in einigen Fällen schwerwiegende, die zum Schutz der Sicherheit unserer Geräte beitragen.
Es ist nicht das erste Mal, dass Sicherheitslücken entdeckt wurden, die böswillig ausgenutzt wurden. Einer der berüchtigtsten Fälle war Pegasus, eine Reihe von drei Fehlern, die auch den Zugriff auf den Kernel ermöglichten. Sie wurden von den Vereinigten Arabischen Emiraten verwendet, um einen politischen Dissidenten im Land auszuspionieren, der im Sommer 2016 von Apple repariert wurde.
Apple hat vor einiger Zeit ein Prämienprogramm gestartet, bei dem Geldpreise an diejenigen vergeben werden, die es schaffen, die Sicherheit seiner Geräte zu knacken. Die Preise reichen von 100.000 USD für die Umgehung des Sperrbildschirms bis zu 1 Million USD für die Verwaltung der Ausführung von Code im Kernel ohne Klicks.
Natürlich könnte der anonyme Tippgeber ein paar hunderttausend Dollar für diese drei Fehler einstecken. Wir werden sehen, ob wir in den kommenden Wochen mehr darüber erfahren.
