Textnachrichten bleiben eine Achillesferse von Apples Betriebssystem iOS. Bereits Anfang Juli wurden eine gravierende Sicherheitslücke bei iMessage bekannt. Nun hat Sicherheitsforscherin Natalie Silvanovich mit ihrem Kollegen Samuel Groß vom Google Project Zero gleich sechs weitere entdeckt, wie "Heise" berichtet. Wer iOS 12.4 noch nicht installiert hat, sollte dies schleunigst nachholen. Die Lücken werden unter anderem dadurch ermöglicht, dass die Nachrichten-App fehlerhaft formatierten Text nicht richtig verarbeitet.

Leicht ausnützbar

Fünf Schwachstellen sind besonders bedenklich: Damit sie ein Angreifer ausnützen kann, reicht es, dem ahnungslosen User eine simple Textnachricht zu senden. Es reicht, wenn der Nutzer sie einfach liest. Die sechste wird noch geheimgehalten, bis Apple eine Lösung dafür gefunden hat.

Mit zwei Bugs kann man Speicherstellen auslesen oder Dateien vom Gerät extrahieren. Es geht aber auch gravierender: Andere Lücken können dazu genützt werden, um Schadcode auszuspielen.

Ein unmoralisches Angebot

"Zdnet" schätzt, dass die Sicherheitsforscher damit viel Geld machen könnten. Kriminelle würden rund eine Million US-Dollar pro Bug zahlen, um Malware ausspielen zu können. Silvanovich dürfte sich anders entscheiden: Sie wird bei der Sicherheitskonferenz Black Hat in Las Vegas Anfang August über die Bugs referieren. Sie kündigte bereits an, dass auch SMS, MMS, Visual Voicemail und Mail durchaus Angriffsflächen bieten. (red, 31.7.2019)