Sicherheitsmaßnahme: Keine PDF-Dateien öffnen! [Update]

Rossau-Artikel-Update gleich vorweg: Das Problem wurde inzwischen behoben, siehe Rossau vom 12. August 2010Apple stopft PDF-Sicherheitslücke mit iOS 4.0.2 und 3.2.2. PDF-Dateien können nach dieser iOS-Betriebssystemaktualisierung wieder bedenkenlos geöffnet und betrachtet werden, außer auf dem iPhone und iPod touch der allerersten Generation.

Darauf folgt gleich das jüngste Rossau-Artikel-Update vom 7. Juli 2011; ein ganz ähnliches Problem tauchte wieder auf, die Warnung blieb vorerst wieder bestehen: Sicherheitsmaßnahme: Keine PDF-Dateien öffnen! (Die zweite…) Auch diese Lücke wurde acht Tage später geschlossen. Updates-Ende.

Zurück zum Artikel vom 4. August 2010:

Soweit das aus den unten angeführten Informationsquellen hervorgeht, gibt es bei allen iDevices mit dem Betriebssystem iOS ein Sicherheitsproblem. Als erste und vorläufige Maßnahme muss empfohlen werden, bis auf weiteres keine PDF-Dokumente (das sehr gebräuchliche Portable Document Format; Wikipedia) am iPhone, iPad und iPod touch zu öffnen! Das Verschulden dürfte bei der Firma Apple liegen, welche den im Betriebssystem eingebauten PDF-Reader entwickelte, an einer Lösung des Problems wird gearbeitet.

WWW-Hyperlinks zu solchen PDF-Dateien sind auf Web-Seiten nicht immer so klar gekennzeichnet wie der österreichische Meldezettel im Google-Suchergebnis (Bildschirmfoto oben)! Jedoch müsste die Dateiendung “.pdf” oder “.PDF” ersichtlich sein, wenn man den Finger etwas länger auf einem Hyperlink liegen lässt:

Solche Dokumente aus nicht vertrauenswürdigen Quellen vorläufig besser nicht öffnen. PDFs werden auch gerne per E-Mail verschickt, Obacht! Es dürfte immerhin (bis auf den Jailbreak ;)) noch zu keinen tatsächlichen Schadensfällen gekommen sein. Apple sei gerade dabei, die Angelegenheit zu untersuchen, meldet MacRumors. Bis es offizielle Stellungnahmen gibt, empfehle ich die Vorgangsweise wie oben beschrieben.

  • Der deutsche Computer-Fachverlag Heise (aktuellster Beitrag zuerst): Patch für iPhone-Lücke kommt bald mit interessanten technischen Details zu dem Security-Flaw, Stichwort CFF-Lücke (Compact Font Format; Wikipedia); daraus:

Bislang nutzt nur der Jailbreakme-Exploit die Lücken, um beim Aufruf der Projektseite via Safari auf die jeweiligen iPhone-Versionen zugeschnittene PDF-Dokumente zu öffnen. Grundsätzlich gibt es aber auch andere Apps, mit denen sich PDFs öffnen lassen. Zudem könnten bald weitere Seiten im Netz auftauchen, die sich des Exploits bedienen – dann aber, um das Gerät mit Malware zu infizieren statt es nur zu entsperren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor den beiden Schwachstellen in Apples Mobilbetriebssystem iOS, die durch die Jailbreak-Website des iPhone-Tüftlers comex ans Tageslicht gekommen sind. Verwundbar sind laut BSI die iOS-Versionen 3.1.2 bis 4.0.1 für das iPhone, iOS 3.1.2 bis 4.0 für den iPod touch sowie iOS 3.2 und 3.2.1 für das iPad. Es sei nicht auszuschließen, dass auch ältere Versionen verwundbar sind.

Die erste Lücke befindet sich im PDF-Viewer und lässt sich zur Einschleusung von Schadcode missbrauchen. Mit Hilfe der zweiten Lücke im Kernel kann sich der Code höhere Rechte verschaffen und aus der Sandbox ausbrechen. Zur Infektion muss man lediglich eine infizierte PDF-Datei öffnen. Das kann auch schon durch einen präparierten Link über Safari oder eine App geschehen. Das BSI rät daher, bis die Lücken geschlossen sind keine PDF-Dateien auf iOS-Geräten zu öffnen und nur vertrauenswürdige Webseiten anzusteuern. Auch Links in Mails und auf Ergebnisseiten von Suchmaschinen solle man kritisch beäugen.

Die kritische Sicherheitslücke im PDF-Reader von Apples Mobilbetriebssystem iOS schlägt weitere Wellen. Denn sie sorgt nicht nur dafür, dass man iPhone, iPod touch und iPad durch den Besuch einer Website innerhalb weniger Minuten vom App-Store-Zwang befreien kann – ebenso schnell könnten Kriminelle auf diese Weise beliebigen Schadcode in das System einschleusen und die volle Kontrolle über das Gerät erlangen.

Den verwundbaren PDF-Viewer hat Apple selbst entwickelt. Verweist eine Webseite auf ein präpariertes PDF-Dokument, wird der Code mit Safari-Rechten ausgeführt… Auch andere Anwendungen nutzen Apples PDF-Engine und sind somit verwundbar. Wer einen verseuchten PDF-Anhang einer Mail öffnet, kann sich ebenfalls infizieren.

  • Rossau: iPhone-Hacks (kurze ;) Begriffserläuterung “Jailbreak”)

Wie CNET berichtet, hat Apple eine Lösung für das Sicherheitsleck entwickelt, die in einer der nächsten Software-Aktualisierungen eingesetzt wird. Apple machte keine Angaben zu einem Veröffentlichungstermin und hat sich offenbar beeilt.

Wie Reuters berichtet, hat die Nachrichtenagentur eine offizielle Antwort von Apple zu dem Thema erhalten: “Firmensprecherin Natalie Harrison bestätigte, man habe die Berichte wahrgenommen. ‘Wir überprüfen das gerade’, sagte sie.”

Über einen Termin für die Reparatur wurde kein Wort verlautbart. Während viele User zweifellos die einfache Jailbreak-Methode begrüßen, wird Apple dieses Security-Leck bestimmt so bald wie möglich stopfen, um sowohl Schadensfälle als auch die Jailbreak-Vorgänge hintanzuhalten.

Diesen Rossau-Artikel bookmarken und weiterempfehlen

About these ads
Dieser Beitrag wurde unter Aktuell, iPad, iPod touch, Sicherheit und Privatsphäre abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.