Warum Sie iOS und macOS schnellstmöglich aktualisieren sollten

Schieben Sie die Aktualisierung auf iOS 16.3 und macOS Ventura 13.2 und künftige Updates nicht auf, wir sagen Ihnen, warum.

Die jüngsten Versionen von iOS und iPadOS (16.3) und macOS (Ventura 13.2) haben die unter den Bezeichnungen CVE-2023-23530 und CVE-2023-23531 geführten Sicherheitslücken geschlossen. Wir erklären, was es mit diesen Bugs auf sich hat, warum sie Ihre Aufmerksamkeit verdienen, was die Pegasus-Spyware damit zu tun hat und warum Sie diese und zukünftige iOS-, iPad- und macOS-Sicherheitsupdates ernst nehmen sollten.

 

NSPredicate, FORCEDENTRY, Pegasus & Co.

Um zu erklären, warum diese neuesten Updates wichtig sind, benötigen wir ein wenig Hintergrundwissen. Die Software-Grundlage von Anwendungen für Apple-Betriebssysteme heißt – auch wenn Sie es vielleicht nicht glauben – Foundation Framework! Hier ist die Beschreibung von Apple dazu:

„Das Foundation Framework bietet eine grundlegende Funktionsebene für Apps und Frameworks, einschließlich Datenspeicherung und -persistenz, Textverarbeitung, Datums- und Zeitberechnungen, Sortieren und Filtern und Networking. Die von Foundation definierten Kategorien, Protokolle und Datentypen werden in den SDKs von macOS, iOS, watchOS und tvOS verwendet.“

 

Vor gut zwei Jahren, im Januar 2021, wurde von einem iOS-Sicherheitsforscher namens CodeColorist ein Bericht veröffentlicht, in dem gezeigt wurde, wie die Implementierung der NSPredicate– und NSExpression-Kategorien (die beide Teil des Foundation Frameworks sind) zur Ausführung von beliebigem Code ausgenutzt werden kann. Diese beiden Klassen sind für das Sortieren und Filtern von Daten zuständig. Das Wichtigste in diesem Zusammenhang ist, dass diese Tools es ermöglichen, Skripte auf einem Gerät auszuführen, ohne die digitale Signatur des Codes zu überprüfen.

Das primäre Ergebnis von CodeColorist bestand darin, dass solche Skripte dazu beitragen können, die Sicherheitsmechanismen von Apple zu umgehen – einschließlich der App-Isolierung. Auf diese Weise kann eine bösartige App geschrieben werden, die Daten (z. B. die Korrespondenz des Benutzers oder zufällige Fotos aus der Galerie) von anderen Apps stiehlt.

Im März 2022 wurde ein Paper über die praktische Implementierung einer solchen App veröffentlicht – der Zero-Click-Exploit FORCEDENTRY – der zur Verbreitung der berüchtigten Pegasus-Malware verwendet wurde. Die Schwachstellen in NSPredicate und NSExpression ermöglichten dieser Malware einen Sandbox Escape und den Zugriff auf Daten und Funktionen außerhalb der streng definierten Grenzen, in denen alle iOS-Apps arbeiten.

Im Zuge der theoretischen Arbeit von CodeColorist und der praktischen Analyse des FORCEDENTRY-Exploits implementierte Apple eine Reihe von Sicherheitsmaßnahmen und Einschränkungen. Eine neue Studie zeigt jedoch, dass diese immer noch leicht zu umgehen sind.

 

Was macht CVE-2023-23530 und CVE-2023-23531 gefährlich?

Die Schwachstellen CVE-2023-23530 und CVE-2023-23531 bieten neue Möglichkeiten zur Umgehung dieser Beschränkungen. Die erste, CVE-2023-23530, ergibt sich daraus, wie Apple das Problem genau angegangen ist. Konkret wurden umfangreiche Sperrlisten von Kategorien und Methoden erstellt, die ein offensichtliches Sicherheitsrisiko innerhalb von NSPredicate darstellen. Der Clou ist, dass man diese Listen durch die Verwendung von Methoden, die nicht in diesen Sperrlisten enthalten sind, löschen und dann den gesamten Methoden- und Kategoriensatz verwenden kann.

Die zweite Schwachstelle, CVE-2023-23531, bezieht sich auf die Interaktion von Prozessen innerhalb von iOS und macOS und darauf, wie der Datenempfangsprozess eingehende Informationen filtert. Kurz gesagt, kann der Sendeprozess den Daten den Tag „content verified“ hinzufügen und dann den Empfangsprozess mit einem schädlichen Skript füttern, das das NSPredicate verwendet, und das in einigen Fällen ohne Überprüfung ausgeführt wird.

Den Forschern zufolge ermöglichen diese beiden Techniken zur Umgehung von Sicherheitsüberprüfungen den Exploit zahlreicher anderer spezifischer Schwachstellen. Angreifer könnten diese Sicherheitslücken nutzen, um Zugriff auf Benutzerdaten und gefährliche Betriebssystemfunktionen zu erlangen und sogar Anwendungen (einschließlich Systemanwendungen) zu installieren. Mit anderen Worten: CVE-2023-23530 und CVE-2023-23531 können verwendet werden, um Exploits des Typs FORCEDENTRY zu erstellen.

Um die Fähigkeiten von CVE-2023-23530 und CVE-2023-23531 zu demonstrieren, haben die Forscher ein Video erstellt, das zeigt, wie eine bösartige Anwendung dazu gebracht werden kann, Code innerhalb von SpringBoard (der Standardanwendung, die den Startbildschirm auf iOS verwaltet) auf einem iPad auszuführen. SpringBoard verfügt seinerseits über erweiterte Privilegien und diverse Zugriffsrechte – unter anderem auf die Kamera, das Mikrofon, das Anrufprotokoll, Fotos und Geolokalisierungsdaten. Darüber hinaus kann es das Gerät komplett bereinigen.

 

Was das für die Sicherheit von iOS und macOS bedeutet

Wir möchten betonen, dass die Gefahren, die von CVE-2023-23530 und CVE-2023-23531 ausgehen, lediglich theoretischer Natur sind: Bisher sind keine Fälle bekannt, in denen die Sicherheitslücken in freier Wildbahn ausgenutzt wurden. Außerdem wurden sie mit den Updates für iOS 16.3 und macOS Ventura 13.2 gepatcht, d. h., wenn Sie diese rechtzeitig installieren, sind Sie vermeintlich geschützt.

Wir wissen jedoch nicht, wie gut Apple die Sicherheitslücken dieses Mal geschlossen hat. Vielleicht werden auch für diese Patches Workarounds gefunden. Jedenfalls waren sich die Forscher im Gespräch mitWired ziemlich sicher, dass auch weiterhin neue Schwachstellen dieser Art auftreten werden.

Bedenken Sie, dass es nicht ausreicht, Skripte in iOS mit NSPredicate auszuführen, um einen erfolgreichen Hack durchzuführen. Ein Angreifer muss immer noch irgendwie auf das Gerät des Opfers zugreifen können, um damit irgendetwas anstellen zu können. Im Fall von FORCEDENTRY wurden dafür andere Schwachstellen ausgenutzt: Eine infizierte PDF-Datei, die als harmlose GIF-Datei getarnt war, gelangte über iMessage auf das Zielgerät.

Die Wahrscheinlichkeit, dass solche Schwachstellen für APT-Angriffe genutzt werden, ist hoch, daher lohnt es sich, die Gegenmaßnahmen zu wiederholen, die Sie ergreifen können. Costin Raiu, der Leiter unseres Global Research & Analysis Team (GReAT), erklärt in einem gesonderten Beitrag ausführlich, wie Sie sich vor Malware der Pegasus-Klasse schützen können und warum diese Maßnahmen funktionieren. Hier eine kurze Zusammenfassung seiner Empfehlungen:

  • Starten Sie Ihr iPhone und iPad häufiger neu – für Angreifer ist es schwer, sich dauerhaft in iOS einzunisten, und ein Neustart macht Malware oft unschädlich.
  • Deaktivieren Sie iMessage und FaceTime, wenn möglich – diese Apps bieten einen bequemen Einstiegspunkt für Angriffe auf iOS-Geräte.
  • Anstelle von Safari sollten Sie einen alternativen Browser wie z. B. Firefox Focus verwenden.
  • Öffnen Sie keine Links in Nachrichten.
  • Installieren Sie zuverlässige Schutzlösungen auf allen Ihren Geräten.
  • Und zu guter Letzt (wie wir immer wieder betonen), aktualisieren Sie Ihre Betriebssysteme (und achten Sie von nun an vielleicht mehr auf iOS-, iPadOS- und macOS-Updates, sobald diese veröffentlicht werden).

 

Tipps