Schwere Sicherheitslücke in iOS ermöglicht Ausführung und Nachladen von unsigniertem Code durch Apps

Bisher blieb der App Store von größeren Pannen im Bezug auf Malware verschont. Dies hat sich nun geändert und es ist dem Entwickler und Hacker Charlie Miller gelungen, eine Schadsoftware in den App Store zu bekommen. In einem Video zeigt der Sicherheitsforscher, wie er unsignierten Code auf dem Gerät ausführt und Zugriff auf diverse Funktionen des Geräts erhält.

Dabei verwendet Miller eine Aktien App, welche an sich noch nicht schadhaft ist. Erst durch den Zugriff auf seinen Server erhält Miller Remote-Zugriff auf das Gerät und kann schadhaften Code nachladen. Dadurch ist er in der Lage, das Dateisystem des Gerätes zu durchsuchem, Apps auszuführen, das Adressbuch zu laden etc. Als erste Reaktion auf dieser „Panne“ hat Apple den Entwickler-Account von Miller gelöscht und die App aus dem Store genommen.

Wie Miller nun genau vorgegangen ist, ist indes noch unklar und der Entwickler veröffentlicht auch keine weiteren Informationen. Vielmehr hat er Apple umfassend informiert, damit diese Lücke in einem kommenden Update geschlossen werden kann. Derzeit weiß man lediglich, dass diese auf einem Fehler in Nitro basiert, eine JavaScript Engine, welche seit iOS 4.3 eingesetzt wird.

Twitter Digg Delicious Stumbleupon Technorati Facebook Email

Wenn du in Sachen Jailbreak und Unlock immer auf dem Laufenden bleiben willst, dann kannst du dir den RSS-Feed abonnieren, meinen Tweets auf Twitter folgen oder auch der Facebook FanPage beitreten. Ich freue mich über jeden neuen Follower, Abonnenten und Fan. Wenn ihr Hilfe bei Problemen mit eurem iDevice benötigt, dann könnt ihr außerdem bei uns im iPhone Forum vorbeischauen.

Über RedParkz

Gründer von redparkz.de und langjähriger Apple-Fan. Schreibt am liebsten über Jailbreak und wie man sein iDevice verbessern kann.

2 Kommentare zu “Schwere Sicherheitslücke in iOS ermöglicht Ausführung und Nachladen von unsigniertem Code durch Apps”

  1. Das kommt davon, wenn man Lücken aufdeckt. Da löscht Apple einfach den Account. An der App wird es auch nicht gelegen haben…was meint ihr?

  2. Klar wird der Account gelöscht. Steht ja auch in den von jedem Entwickler akzeptierten Developer-Lizenzen, dass bei dem Einreichen solcher Software entsprechend verfahren wird. Sonst könnte man ja auf gut Glück Schadsoftware Einreichen und wenn man auffliegt behaupten, dass es nur ein Test gewesen ist…
    Dem wird sich Charlie Miller auch bewusst gewesen sein und dafür ein separates Konto genutzt haben. Falls nicht, macht er sich halt ein neues Konto ;)

Kommentar hinterlassen

Name (benötigt)

Email (benötigt)

Webseite (optional)