SMS-Schwachstelle im iPhone

Das Sicherheitsmodell des iPhone weist eine Schwachstelle auf, an die offenbar bislang noch keiner gedacht hat. Während installierte Anwendungen von Drittherstellern nur in einer abgeschotteten Laufzeitumgebung (Sandbox) ausgeführt werden, läuft das SMS-Programm mit vollen Root-Rechten. Wer eine Möglichkeit findet seinen Code in dieses Programm einzuschleusen, kann ihm somit womöglich ebenfalls Root-Rechte verschaffen und auf geschützte Bereiche des iPhone zugreifen.

Charlie Miller, IT-Sicherheitsfachmann für Mac OS X, hat auf der Sicherheitskonferenz SyScan in Singapur über eine solche Schwachstelle berichtet. Er und sein Kollege Colin Mulliner wollen beliebigen Code per SMS einschmuggeln können. Bislang habe man erst einen verdächtig wirkenden Absturz provozieren können. Dessen Verhalten weise jedoch auf eine eventuelle Möglichkeit zum Ausführen von Code hin. Details wollte Miller jedoch noch nicht nennen.

Er habe, so Miller, Apple über seine Erkenntnissen informiert und der Hersteller arbeite bereits an einem Patch, um die Lücke zu schließen. Damit sollte sich Apple nicht zu viel Zeit lassen, denn Charlie Miller will Ende dieses Monats auf der Sicherheitskonferenz Black Hat in Las Vegas einen Vortrag zu dem Thema halten.

Miller hat bereits zweimal einen Preis beim Hacking-Wettbewerb "Pwn2own" auf der Sicherheitskonferenz CanSecWest gewonnen. Er hatte dabei Sicherheitslücken in Safari ausgenutzt, um ein Macbook zu hacken.