Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt die Besitzer von Geräten des amerikanischen Herstellers Apple vor zwei kritischen Schwachstellen in deren Betriebssystem iOS.
Flüge buchen, Autorennen fahren, Musik machen oder seinen Alltag organisieren: Erst die Zusatzsoftware holt aus einem Apple iPad heraus, was in ihm steckt. Eine subjektive Auswahl
Diese ermöglichten es der Behörde zufolge, auf iPhones, iPads und dem Musik- und Videospieler iPod Touch schädliche Software aufzuspielen. Über diese könnten Kriminelle die Geräte dann ohne Einschränkungen steuern und so beispielsweise vertrauliche Daten wie Passwörter, Terminkalender oder E-Mails mitlesen. Möglich wäre dem BSI zufolge auch der Zugriff auf eingebaute Kameras, das Abhören des Telefons und die Lokalisierung des Nutzers über GPS.
Um sich die schädliche Software einzufangen, genügt es, eine präparierte Webseite aufzurufen oder eine mit entsprechendem Code versehene Datei im PDF-Format zu öffnen. Da iPhones inzwischen auch vermehrt in Firmen eingesetzt würden, sei damit zu rechnen, dass die Sicherheitslücken für "gezielte Angriffe auf Führungskräfte" ausgenutzt würden, so das BSI.
Von den Schwachstellen betroffen sind nach Informationen des BSI die Versionen 3.1.2 bis 4.0.1 beim iPhone, iOS in der Version 3.2 bis 3.2.1 für das iPad und iOS für den iPod Touch in der Version 3.1.2 bis 4.0. Man könne aber nicht ausschließen, dass auch ältere Versionen betroffen seien.
Die Sicherheitslücken waren öffentlich bekannt geworden, als ein in der Szene bekanntes Team von Hackern anbot, Apple-Geräte durch den Besuch einer Webseite von der Beschränkung befreien zu können, dass auf den Geräten nur von Apple genehmigte Software installiert werden darf.
Für diesen sogenannten Jailbreak (Ausbruch aus dem Gefängnis) hatte ein Hacker mit dem Künstlernamen Comex eine bisher nicht bekannte Sicherheitslücke verwendet. Die Jailbreaker verfolgen zwar selbst keine kriminellen Absichten, doch Kriminelle konnten sich die Methode quasi von der Webseite kopieren.
Inzwischen enthält der Jailbreak eine Warnung, die erscheint, bevor eine PDF-Datei geöffnet wird. Doch sei es "schon die Frage, ob man eine so kritische Sicherheitslücke nicht dem Hersteller hätte melden sollen", sagt André Vorbach vom Computer Emergency Response Team der Bundesverwaltung.
