Jede neue iOS-Version schließt meist zahlreiche, teils kritische Sicherheitslücken in den verschiedensten Teilen des mobilen Applebetriebssystems. Dieses Mal schafft der Versionssprung deren 101 aus der Welt.
Abstürzende Anwendungen, eingeschleuster Schadcode, Verlust persönlicher Daten und kompromittierte SSL-Verbindungen, das ist der Worst Case, der allen Anwendern bis zur Veröffentlichung von iOS 9 drohte. Indes, diese Meldungen sind typisch bei der Beschreibung der Sicherheitseigenschaften von Softwareprodukten quer durch die Bank und ihr Auftreten im ewigen Zyklus der Weiterentwicklung ebenso gewiss wie deren Beseitigung mit der nächsten Version.
Auch das vergleichsweise sichere, Unixoide Apple-OS kennt Sicherheitsprobleme dieser Art. Mit iOS 9 beseitigten die Entwickler nun insgesamt 101 Sicherheitslücken, wie Apple in seiner Mitteilung zu den Sicherheitsaspekten von iOS 9 mitteilt.
Zu den betroffenen Komponenten zählen unter Anderem:
- AppleKeyStore,
- Audio,
- CFNetwork,
- ,
- Disk Images,
- dyld,
- Game Center,
- IOKit,
- iTunes Store,
- Kernel,
- Mail,
- OpenSSL,
- Safari,
- Siri,
- und WebKit.
Zumindest einigen dieser Dienste lässt sich ohne viel Fantasie eine signifikante Sicherheitsrelevanz zuschreiben, hierzu zählen definitiv Klassiker wie Safari und Mail. Kernellücken sind bei iOS eher seltener, kommen aber auch vor.
Ebenfalls typisch für Apple ist das Schließen von Jailbreak-Lücken mit neuen Systemversionen. Dieses Mal wurden vom PanguTeam und dem TaiG JailBreak Team gefundene Schwachstellen beseitigt. Mit ihnen war es möglich Apples Codesigning zu umgehen. Auch der deutsche Sicherheitsforscher Stefan Esser, häufig für das Aufspüren und die Kommunikation von Schwächen in Apple-Systemversionen verantwortlich, trug mit der Meldung einer Kernellücke zur Sicherheit von iOS 9 bei.
Weiterhin beseitigte Apple 33 Lücken in der WebKit-Engine, die bei iOS nicht nur im Applebrowser Safari, sondern allen anderen Browsern und App-internen Betrachtern von Webinhalten als Renderer zum Einsatz kommt. Bei 25 dieser Lücken handelte es sich um Speicherverletzungen, ferner wurde das unautorisierte Initiieren von FaceTime-Anrufen verhindert. Auch in der WebKit-Variante in iTunes für Desktops wurden 66 Sicherheitslücken geschlossen, primär betroffen waren hier iTunes-Nutzer unter Windows, die mit Version 12.3 nun wieder sicher in Apples Medienstores stöbern können.
Die Verbreitung des neuen OS haben die Webanalysten von MixPanel in einer Grafik dargestellt.