Die Kontakte-App von iOS ist für einen Angriff anfällig, der es erlaubt, fremden Code auf ein iPhone zu schleusen und dort auszuführen. Das Problem wurde allerdings nicht von Apple verursacht, es ist bar auch unklar, wann es beseitigt werden kann.

Diese Wochen werden durch die Demonstration zahlreicher Sicherheitslücken geprägt. So hatten wir etwa in einer weiteren Meldung darüber berichtet, dass chinesische forscher einen Weg entdeckt haben, den Schutz von Face ID zu umgehen, zumindest teilweise. Dieser Angriff wurde auf der Black Hat-Konferenz 2019 demonstriert, doch es finden momentan noch weitere Fachkonferenzen zur IT-Sicherheit statt. Eine davon ist die Def Con 2019 und im Rahmen dieser Veranstaltung wurde nun gezeigt, dass die Kontakte-App von iOS unter Umständen zum Sicherheitsrisiko werden kann.

iOS-Angriff nutzt Schwäche in SQLite aus

Dabei haben die Forscher der Sicherheitsfirma Check Point keine Lücke entdeckt, die im Code von iOS steckt, allerdings weist eine Komponente ein Problem auf, die in vielen Softwareprodukten verwendet wird: Die Datenbank SQLite kommt sowohl unter iOS und macOS, als auch in Browsern wie Googles Chrome oder Firefox zum Einsatz. SQLite stellt niedrige Systemanforderungen und ist daher beliebt, hat aber auch eine Schwachstelle. Diese erlaubt es Angreifern, die Kontrolle über eine beliebige SQLite-Datenbank zu übernehmen, sofern ein Kommando von einer nicht vertrauenswürdigen Quelle kommt. Unter iOS galt dieses Problem lange als unerheblich, denn im hermetisch verschlossenen iOS gibt es keine nicht zertifizierten Anwendungen. Nun gelang es den Experten aber, eine von Apple zertifizierte App zu manipulieren, um fremden Code einzuschleusen, nämlich die Kontakte-App. Wann immer anschließend ein Nutzer nach einem Kontakt sucht, kann die Lücke ausgenutzt und fremder Code ausgeführt werden.

Ob Apple ein Fix hierfür bereitstellen wird und wann das passiert, ist noch unklar.

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.