F-SECURE hat informative Fragen und Antworten zur JailbreakMe-Sicherheitslücke in iOS aufgeschaltet. Sicherheitslücken in iOS sind beinahe alltäglich – gerade Anfang Woche bloggte ich über eine Sicherheitslücke im Schlüsselbund. Die JailbreakMe-Sicherheitsproblematik ist besonders gravierend, weil das unbeabsichtigte Öffnen einer entsprechend präparierten PDF-Datei genügt um die Kontrolle über das eigene iOS-Gerät zu verlieren, beispielsweise durch Surfen im Web oder Lesen einer E-Mail mit PDF-Anlage, und grundlegende iOS-Sicherheitsfunktionen ausgehebelt werden … eine iOS-Aktualisierung zur Behebung dieser Sicherheitslücke wurde von Apple bislang nicht veröffentlicht.
Nachfolgend einige Ausschnitte aus den Fragen und Antworten von F-SECURE, zuerst mit grundlegenden Angaben zur Sicherheitslücke (die eigentlich aus zwei Sicherheitslücken besteht):
Q: What is this all about?
A: It’s about a site called jailbreakme.com that enables you to Jailbreak your iPhones and iPads just by visiting the site.Q: So what’s the problem?
A: The problem is that the site uses a zero-day vulnerability to execute code on the device.Q: How does the vulnerability work?
A: Actually, it’s two vulnerabilities. First one uses a corrupted font embedded in a PDF file to execute code and the second one uses a vulnerability in the kernel to escalate the code execution to unsandboxed root.Q: How difficult was it to create this exploit?
A: Very difficult.Q: How difficult would it be for someone else to modify the exploit now that it’s out?
A: Quite easy.
Die Sicherheitslücke betrifft alle iOS-Geräte und nicht ausschliesslich das iPhone:
Q: So this is an iPhone problem?
A: No, it’s an iOS problem. Which means it affects iPhones, iPads and iPods.[…]
Q: So this affects all iPhone users in the whole world?
A: Yes.
Eine iOS-Aktualisierung von Apple zur Behebung der Sicherheitslücke ist noch nicht verfügbar:
Q: Is there a patch available?
A: No.Q: Ouch. Will there be a patch?
A: Apple is expected to ship one as soon as they can.Q: Is that confirmed?
A: It is. Apple wants to patch this for two reasons: to prevent people from jailbreaking their devices and to protect their customers from potential attacks.
Die PDF-Sicherheitslücke nahm ihren Ursprung nicht bei Adobe – ausnahmsweise:
Q: Does the PDF vulnerability affect Adobe PDF Reader?
A: No. Adobe PDF Reader on Windows and other platforms is not affected by this vulnerability.
Für iOS gibt es keine PDF-App ausser der integrierten von Apple, das heisst man kann nicht auf eine allenfalls sichere(re) PDF-App für iOS ausweichen:
Q: Is the PDF reader on my iPhone made by Adobe?
A: No, it’s made by Apple. And there is no separate Reader application, PDF support is built into the OS.
Die Sicherheitslücke betrifft nicht allein entsprechend präparierte Websites, sondern jeder Weg zur Verbreitung von PDFs kommt in Frage:
Q: How could such a worm arrive to my phone?
A: Via any mechanism that could make your device open a malicious PDF file. We have examples in an earlier blog post.Q: So a malicious web page would do it?
A: Yes. Or a malicious PDF email attachment. Or a text message with a weblink. Or a link in Twitter or Facebook feed – assuming you click on that link with your iPhone.
Jeder Weg? Nein, PDF nicht, wegen einer Fehlfunktion in iOS:
Q: Could it arrive via MMS messages?
A: Thankfully, no, as PDF attachments fail in iPhone MMS messages. This is also known as security through incompatibility.
Antivirus-Funktionalität ist für iOS bislang nicht verfügbar:
Q: Should I run an antivirus on my iPhone?
A: You should, yes. But you can’t.Q: I can’t? Why not?
A: Because there are no antivirus programs available for iPhone.
Nachtrag
Endlich – iOS 4.0.2 steht zum Download zur Verfügung und soll die JailbreakMe-Sicherheitslücke beheben. Für das iPad soll iOS 3.2.2 den gleichen Zweck erfüllen.
Q: Is there a patch available?
A: Yes!
Wurde heute veröffentlicht.
Klar würde F-Secure gerne eine AntiViren-Lösung für das iPhone verkaufen. Und klar wollen Sie dem Benutzer möglichst viel Angst machen damit auch viele Benutzer eine AV-Software kaufen.
was in anbetracht des ausmasses zb von dieser lücke auch extrem angebracht ist.
gibt es ja nicht. ist also auch kein verkauftsversuch… zumindest noch nicht.
Im vorliegenden Fall war und ist die Angst aus meiner Sicht begründet.
Antivirus für das iPhone? So ein Quatsch! Was soll der denn finden? Was hätte das denn im aktuellen Fall gebracht? Seit wann schützen Virenscanner vor Exploits? Klingt mir irgendwie … reisserisch und nicht sehr kompetent.
Ich fürchte, Deine Definition von «Antivirus-Software» ist veraltet – heute verstehen zumindest die Hersteller darunter umfassende Softwarepakete mit allen möglichen Funktionen zur «Verbesserung» der Sicherheit.
Das ändert nichts an den Fragen:
Welche Sicherheitsverbesserung -egal welcher Art- schützt vor einem 0-day exploit?
Meine Antwort: keine
Welche Art “Antivirus” hätte im aktuellen Fall geholfen?
Meine Antwort: keiner
Offene Frage:
Was soll so ein “Antivirus” (der ja auf dem iPhone nicht ohne weiteres aus seiner Sandbox kann) überhaupt finden? Andere Programme kann er nicht scannen.
Also wie soll so eine “Sicherheitssuite” für das iPhone aussehen? Ich halte das nach wie vor für entweder absichtliches FUD (Marketing, um bald Antivirus-Apps zu verkaufen) oder für inkompetent, sorry…
Hinweis: ich will damit sagen, dass Herstellern von Sicherheitssoftware wie F-SECURE bzgl. solcher Aussage nicht traue, bis sie sie belegen können. Denn die haben ein persönliches Interesse am Glauben, dass Antivirus-Software das System sicher macht, also tendieren sie entweder zur schlampigen Recherche (das “inkompetent”) oder verdrehen die Wahrheit vielleicht sogar.
Ich bin gegenüber Antivirus-Software und verwandten Anwendungen äusserst skeptisch – ich möchte deshalb gar nicht erst versuchen, für Anbieter wie F-SECURE zu argumentieren.
Jetzt ist das Problem ja bereits gelöst mit dem 4.0.2 Update.
«Bereits»?
Hey! – Bei diesem komplizierten Patch kann das halt länger dauern!
Also echt – immer diese Ansprüche