Kritischer iPhone-Bug: Update am Freitag?

20. Nov. 2008 17:00 Uhr - sw

Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt haben nach eigenen Angaben eine schwere Sicherheitslücke im iPhone entdeckt. Demnach können Angreifer mit einem einfachen Trick die Steuerung des Smartphones übernehmen und automatisch eine Nummer wählen lassen, wie beispielsweise einen teuren 0900er-Anschluss.

UMTS-iPhoneDas Szenario: Der iPhone-User empfängt auf seinem Handy eine E-Mail oder SMS mit einem Internetlink. Klickt der Empfänger darauf, öffnet sich zunächst eine gewöhnliche Internetseite. Doch plötzlich wählt das iPhone ohne Zutun des Nutzers die Abzocke-Telefonnummer. Ein Abbruch des Anrufs ist nicht möglich, der Handy-Bildschirm bleibt grau, die teure Nummer wird gewählt. Um die Sicherheitslücke im iPhone auszunutzen, genügen laut SIT drei Zeilen einfachster Programmcode auf der manipulierten Internetseite.

"Jeder Angreifer mit HTML-Grundkenntnissen kann diese Sicherheitslücke missbrauchen und so großen Schaden anrichten", sagt Collin Mulliner vom Fraunhofer SIT. Eine ähnliche Schwachstelle sei bereits vor einem Jahr bekannt geworden. Die damals von Apple veröffentlichten Updates waren nach Einschätzung des SIT jedoch nicht ausreichend.

Das SIT hat Apple vor einem Monat über das Problem informiert. Die Lücke soll am 21. November mit Veröffentlichung einer neuen Firmware gestopft werden. Dabei handelt es sich vermutlich um die Betriebssystemversion 2.2, die sich seit längerem in Entwicklung und Betatest befindet. Die Nennung des 21. November als Veröffentlichungstermin deckt sich mit einem Bericht der Web-Site iPhoneHellas, die ebenfalls für diesen Tag die iPhone-Software 2.2 erwartet.