Neue Sicherheitslücke bei iPhone und iPod Touch aufgedeckt

iphone-profile-sicherheits-luecke Und wieder wurde eine neue Sicherheitslücke aufgedeckt, welche auf einem betroffenem Geräte zu unangenehmen Nebenwirkungen führen kann. Diese betrifft die Möglichkeit Profile, die man auf dem iPhone installieren kann, nach belieben zu manipulieren.

Bereits letztes Jahr hatten wir diverse Lücken gehabt. Zum einen gab es 2 Stück in Verbindung mit SMS, und auch die ersten zwei Würmer sind programmiert worden. Die SMS-Lücken wurden von Apple mit diversen FW-Updates behoben. Die Würmer hatten nur auf Geräte mit Jailbreak und installiertem SSH Auswirkungen (sollten die Anwender nicht das Passwort geändert haben).

Profile sind eigentlich dazu gedacht mehrere Geräte relativ einfach zu konfigurieren. Dies kommt vor allem in Firmen zum Einsatz, aber auch Universitäten verwenden diese um Geräte für den Zugang im Netzt freizuschalten. Dabei beinhalten alle Profile ein Sicherheitszertifikat und Angaben über den Ersteller eines Profils.

Um diese Profile zu installieren, kann man sie einfach in Safari öffnen und muss nur bestätigen das man dies auch wirklich will. Einem Bericht von Cryptopath zufolge ist es Hackern nun gelungen diese Zertifikate zu manipulieren. Das so bearbeitet Profil gibt sich als Verifiziert aus und kann auch einen beliebigen Aussteller haben. Wie man auf dem obigen  Bild sieht, wurde hier Apple eingetragen.

Jetzt muss man einen Anwender nur dazu bringen auf einen Link zu klicken der auf ein solch manipuliertes Profil führt. Damit könnte man wohl viele Benutzer dazu bringen das Profil zu installieren. Immerhin kommt es ja von Apple und ist zudem verifiziert worden.

Sobald das Profil einmal installiert wurde, kann der Angreifer eine Menge Schaden anrichten. So kann er z.B. den gesamten Internetverkehr des Gerätes über einen beliebigen Server umleiten und so eine “Man in the middle Attack” durchführen. Dabei kann er alles aufzeichnen was vom und zum Gerät gesendet wird. Außerdem kann man WiFi und Email Einstellungen beliebig verändern. Zudem kann man über Einschränkungen auch diverse Programme des iPhones deaktivieren, darunter z.B. Safari oder Mail. Ein weiteres großes Problem ist die Deinstallation eines solchen Profils. Diese können so konfiguriert werden, dass es nicht mehr möglich ist, es ohne eine Wiederherstellung des Gerätes zu löschen.

Daher bitte immer aufpassen wenn ihr euch ein Profil installiert. Wer sich für den kompletten Bericht interessiert findet ihn hier.

Twitter Digg Delicious Stumbleupon Technorati Facebook Email

Wenn du in Sachen Jailbreak und Unlock immer auf dem Laufenden bleiben willst, dann kannst du dir den RSS-Feed abonnieren, meinen Tweets auf Twitter folgen oder auch der Facebook FanPage beitreten. Ich freue mich über jeden neuen Follower, Abonnenten und Fan. Wenn ihr Hilfe bei Problemen mit eurem iDevice benötigt, dann könnt ihr außerdem bei uns im iPhone Forum vorbeischauen.

Über RedParkz

Gründer von redparkz.de und langjähriger Apple-Fan. Schreibt am liebsten über Jailbreak und wie man sein iDevice verbessern kann.

Bisher keine Kommentare... Schreibe den Ersten!

Kommentar hinterlassen

Name (benötigt)

Email (benötigt)

Webseite (optional)