Apple bringt iPhone OS 3.0.1 als SMS-Security-Fix

iP_BS301

Versionsangaben am iPhone nach dem Sicherheits-Update des Apple-Betriebssystems

Am Freitag, den 31. Juli 2009, veröffentlicht Apple gegen 21 Uhr MESZ eine iPhone Betriebssystem-Aktualisierung von Version 3.0 (7A341) auf 3.0.1 (7A400) für sämtliche iPhone-Modelle.

Sie soll eine kürzlich bekannt gewordene Verwundbarkeit ausmerzen, mit der Angreifer aus der Ferne unbefugte Kontrolle über das iPhone erlangen können; siehe dazu bitte den Artikel vom deutschen Computer-Fachverlag Heise: Multi-Part-SMS stoppt das iPhone. derStandard.at: Der echte iPhone-Killer: Eine SMS. Auch die Rossau-Abonnenten wurden bereits Anfang Juli informiert: Angeblich kritische Sicherheitslücke bei SMS im iPhone.

Offizielles Dokument dazu von der Firma Apple: About the security content of iPhone OS 3.0.1. Nun, das ging schnell.

Vorgangsweise

In iTunes’ linker Navigationsspalte unter der Listen-Überschrift “GERÄTE” das vorher per USB-Kabel angeschlossene iPhone auswählen (den iPhone-Namen anklicken). Im Hauptfenster (Karteikartenreiter “Übersicht”) dann unter “Version” – “Nach Updates suchen” und die weiteren Anweisungen befolgen.

iPhone_iTunes_OS301

iTunes fragt an, ob das Update auf 3.0.1 jetzt durchgeführt werden soll

Das Update plättet offenbar das iPhone-Betriebssystem, setzt es komplett neu auf und veranstaltet eine Gesamt-Sicherung und -Wiederherstellung sämtlicher installierter Dateien (Musik, Videos, Apps). Das Download-Volumen des Betriebssystems betrug hier ungefähr 230 Megabyte, User in verschiedenen Communities berichten von bis zu 300 MB.

Der Vorgang dauerte am MacBook Pro vierzig Minuten (wegen des Backups auch vom Befüllungsgrad des iPhones abhängig), läuft weitgehend vollautomatisch ab, darf nicht unterbrochen werden und wird dringend empfohlen! Alle Einstellungen bleiben erhalten.

iPhone_Software-Update_301

Informationen zum iPhone OS 3.0.1 Update in einem englischsprachigen iTunes

Ein eventueller Jailbreak/Unlock (zum aktualisierten Rossau-Artikel, Begriffserläuterung) geht mit sämtlichen Einstellungen und installierten Apps verloren und muss nach dem Update neu aufgespielt werden. Na dann – viel Spaß! ;) Dazu CNET: Jailbreaking software already works for 3.0.1. Zu den Tethering-Hacks siehe bitte unseren Link zu Ars Technica ganz unten im vorliegenden Artikel.

Meier und Müller

Apple-Sprecher Tom Neumayr zum U.S.-amerikanischen Wirtschaftsmagazin Forbes: “Wir sind für die Informationen über die SMS-Verwundbarkeit, die mehrere Mobiltelefon-Betriebssysteme betrifft, dankbar. Weniger als vierundzwanzig Stunden nachdem die Sicherheitslücke demonstriert wurde, veröffentlichten wir eine kostenlose Software-Aktualisierung, welche diese Verwundbarkeit von iPhones beseitigt.”

Neumayr weiter: “Im Gegensatz zu dem, was berichtet wurde, konnte niemand diese Verwundbarkeit dazu ausnützen, Kontrolle über das iPhone zu erlangen und so Zugang zu persönlichen Informationen zu erhalten.” Apple verweigerte dem Magazin gegenüber weitere Auskünfte darüber, welche Funktionen des iPhone von einem Angreifer, der diese Verwundbarkeit ausnützte, kontrolliert hätten werden können.

Die Security-Experten Charlie Miller und Collin Mulliner, von denen die Sicherheitslücke entdeckt wurde, äußern sich laut Forbes zu dem Statement Apples: “Wir wissen nicht, wovon genau Apple da spricht. Nein, wir haben keine persönlichen Informationen gestohlen, aber demonstriert, wie wir den Prozessor unter Kontrolle bekommen. Wir hätten somit aus der Ferne alles tun können, was auch ein iPhone-User mit seinem iPhone tun kann.”

Miller sagt, er habe vor mehr als einem Monat die Firma Apple darüber informiert, diese habe jedoch keinen Patch veröffentlicht, bevor er und sein Kollege letzten Donnerstag den Exploit demonstrierten. “Meiner Meinung nach haben sie einen Turbogang eingelegt, als das zunehmende Beachtung in den Medien fand.”

Halb so wild?

Jonathan Zdziarski, ein weiterer iPhone Security Researcher, meint gegenüber dem U.S.-amerikanischen Technologiemagazin Wired: “Ich habe das Gefühl, Miller tut nichts Anderes als zu versuchen, mit seinem Kunststückchen Aufsehen zu erregen.

Viele Gerätschaften ‘in der freien Wildbahn’ sind verwundbar. Niemand hat diese Schwächen bisher entdeckt. Und es ist kaum davon auszugehen, dass ein Hacker viel Energie darin investieren würde, Millers SMS-Attacke zu replizieren, da er nichts damit erreichen würde, außer verärgerte iPhone-Benützer.

Jedesmal, wenn wir einen solchen Fehler finden, gibt es den schon seit einem Jahr oder länger, mindestens aber seit sechs Monaten.” Miller bestätigt am Telefon, dass es die SMS-Schwäche beim iPhone schon seit Jahren gibt, er habe sie zum ersten Mal im iPhone OS 2.0 entdeckt, das im Jahre 2008 herauskam.

“Das Problem steckt vielleicht schon seit Jahren im iPhone”, sagt Miller zu Wired, “aber niemand wusste etwas davon. Da es nun bekannt ist, kann es Apple reparieren.”

Andere Mobilfunk-Betriebssysteme

Windows-Mobile- und Google-Android-Handys sind von dem SMS-Bug ebenfalls betroffen. Auch hier könnte ein Angreifer Kontrolle über die Geräte erlangen, lassen die Sicherheitsexperten verlauten.

Die New York Times zitiert da Forbes: Miller und Mulliner hätten den Fehler erst neulich entdeckt und Microsoft noch nicht unterrichtet. Microsoft habe gesagt, man beobachte die Angelegenheit und werde dann entscheiden, welche Maßnahmen angebracht seien, um die Kundschaft zu schützen.

Weitere Informationsquellen

Bookmark and Share

About these ads
Dieser Beitrag wurde unter Aktuell, Die besten Tipps abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Apple bringt iPhone OS 3.0.1 als SMS-Security-Fix

  1. Pingback: Jailbreak, Hacktivation, Unlock « Rossau

  2. Pingback: iPhone OS 3.1, iTunes 9 « Rossau

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ photo

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s