Sicherheitslücke in iOS
iPhone: Forscher warnen vor Trustjacking-Angriff via Computer
Wer einen Computer am iPhone als vertrauenswürdig einstuft, bietet Hackern Angriffsfläche. Diese können Daten sogar ohne Kabelverbindung auslesen.
Wer sein iPhone mit dem PC verbindet, wird von iOS gefragt, ob er "diesem Computer vertrauen" möchte. Zur Auswahl stehen die Buttons "Nicht vertrauen" und "Vertrauen". Viele Nutzer tippen hier auf "Vertrauen" selbst wenn sie etwa nur ihren iPhone-Akku laden wollen. Damit machen Sie sich für T...
Wer sein iPhone mit dem PC verbindet, wird von iOS gefragt, ob er "diesem Computer vertrauen" möchte. Zur Auswahl stehen die Buttons "Nicht vertrauen" und "Vertrauen". Viele Nutzer tippen hier auf "Vertrauen" selbst wenn sie etwa nur ihren iPhone-Akku laden wollen. Damit machen Sie sich für Trustjacking-Attacken angreifbar, wie nun Sicherheitsforscher von Symantec warnen.
Attacke nutzt iTunes WLAN-Sync
Der Angriffsweg geht dabei über das iOS-Feature iTunes WLAN-Sync, über das Nutzer ihr iPhone auch ohne Verbindungskabel verwalten können. Fällt der eigene Computer nun in die Gewalt eines Cybercriminellen, kann dieser auf zahlreiche Funktionen und Daten des iPhones zugreifen - selbst wenn das Verbindungskabel zwischen iPhone und PC wieder gelöst wird.
Die Bestätigung des Vertrauens bei der PC-Verbindung ermöglicht es Angreifern etwa, Backups anzufertigen und Daten großzügig auszulesen. Mit Apple Entwickler-Tools wäre es sogar möglich, die iPhone-Aktivitäten per Screenshots zu überwachen. Die Voraussetzung für den Beginn einer solchen Attacke ist die Verbindung zwischen Computer und iPhone über ein Kabel und die Anmeldung im selben WLAN.
Konnte sich der Hacker bereits Zutritt zum iPhone verschaffen, ermöglicht ihm das Aktivieren von "iTunes WLAN-Sync" eine dauerhafte Verbindung zum Gerät. In Kombination mit einer Malicious-Profile-Attacke, bei der eine VPN-Verbindung auf dem iPhone eingerichtet wird, würde es sogar keine Rolle mehr spielen, ob beide Geräte im selben WLAN angemeldet sind. Zum Überprüfen der aktuellen "iTunes WLAN-Sync"-Einstellungen tippen iOS-Benutzer in den iOS-Einstellungen auf Allgemein und scrollen zum Punkt iTunes WLAN-Sync.
Apple reagiert in iOS 11 - Symantec warnt dennoch
Nach der Vorwarnung durch die Sicherheitsforscher erweiterte Apple sein Betriebssystem in iOS-Version 11 um eine PIN, die Nutzer vor der ersten vertrauenswürdigen Verbindung mit einem PC eingeben müssen. Symantec kritisiert diese Lösung jedoch als etwas kurzsichtig, da Trustjacking trotz der neuen Funktion möglich sei. Wenn der verbundene Computer kompromittiert sei, würde der Exploit weiter wie beschrieben funktionieren.
Symantec rät daher, dass Nutzer zur Vermeidung solcher Angriffe öffentliche Computer niemals als vertrauenswürdig bestätigen sollten. Für optimalen Schutz sollte sogar der heimische PC nicht vertrauenswürdig eingestuft werden, denn auch dieser kann gehackt werden.
