Sicherheitslücken die iOS zum Absturz gebracht haben!

Es gab in der Vergangenheit mehrere Sicherheitslücken die iOS zum Absturz gebracht haben. Wir stellen eine Kontaktdatei, ChaiOS und ein Video vor, dass das mobile Betriebssystem in die Knie gezwungen hat.




iMessage friert durch Kontaktdatei ein und wird unbrauchbar!

Die Nachrichtenapp kann nach dem Betrachten einer digitalen Visitenkarte unbrauchbar werden – denn iMessage friert durch Kontaktdatei ein! Es handelt sich dabei um eine ganz bestimmte Kontaktdatei. Sie ist 5MB groß und ist schnell verschickt. Lösungen gibt es zwei – eine hilft aber immer. Das Problem wird wohl erst mit dem nächsten Patch behoben. Die vcf oder vCard Datei sieht auf den ersten Blick unscheinbar aus. Oft trägt die Datei den Namen „vincedes3“ oder „vincedes3.vcf“.

Potenziell kann die Datei aber auch beliebige Namen tragen, was das erkennen noch schwerer macht. Sie ist jedoch ungewöhnliche 5MB groß. Die Größe der Kontaktdatei lässt sich mit außergewöhnlich viel Text begründen, welcher in der Datei untergebracht ist. Das System kann diesen Text schlichtweg nicht handlen und überfordert das System. Das Ergebnis ist, dass die App einfriert und ohne zutun nicht mehr zu verwenden ist.

So macht ihr iMessage nach dem einfrieren wieder funktionstüchtig!

Auf jeden Fall klappt es, beim iPhone wie auch beim iPad, iMessage wieder zurück zu holen, in dem Siri zur Hilfe genommen wird. Klingt komisch, klappt aber tatsächlich.

  • Sobald man den Sprachassistenten nämlich auffordert eine Nachricht zu schreiben, z.B.: „Siri, schicke eine Nachricht an Person XY!“ Dabei bricht Siri den Versuch ab, die digitale Kontaktdatei auszulesen. Nun lässt sich die Kontaktdatei wieder verwenden. Ein erneuter Klick auf die Kontaktdatei löst das Problem erneut aus!
  • Der Entwickler der manipulierten Kontaktdatei will mit dieser Methode auf das Problem aufmerksam machen. Um iMessage wieder lauffähig zu bekommen, hat der Finder der Lücke einen Link bereitgestellt. Durch klicken des Links wird eine neue SMS erstellt. Auch hier wird der Versuch, die Kontaktdatei auszulesen, abgebrochen. Beim iPad scheint diese Methode jedoch nicht zu funktionieren

Die manipulierte Kontaktdatei lässt nun iMessage einfrieren. Und das sogar nach einem Neustart. Das Versenden von SMS oder iMessages ist also nicht mehr möglich. Dafür müssen erst die richtigen Workarounds im Internet gefunden werden. Diese Lücke zeigt aber ein weiteres Mal – iOS ist zwar sicher, seine Schwachstellen hat das System trotzdem! Falls ihr euer Gerät auf die Schwachstelle prüfen wollt, könnt ihr die manipulierte Kontaktdatei und Link zum wiederherstellen auf der Website von vincedes3 finden.

Auszüge aus dem Code der Kontaktdatei

// I am not responsible for the use of this code\
\
// vincedes3 is the only owner of this code\
\
// For support, send me a message on Twitter: @vincedes3\
\
Don't use the violence, just hack the world\
.....
'f0\'de5\'89\'83Z6 '\'e0\'92\'ca\'d8\'80,~\'e83\'85F\'f0x=B \'ea\'d0f\'e6\'db\'ccu\'8e \'d9\'84\'c1\'d0/m\'c1M `&2\'8bC#\'ac\'e1)\'ed 9 C f\'bd |yM] Y\'da\'e5E\\:\'9a0K\'bf\'c8\'85\'f3\'b3\'a4n\'93 \'bc\'e82\
\'fd A\'eb@K\'9e\'af`~\'9b:4U\'c6 \'94ltD\'e4)\'af\'e0\'b7<p\'a8 \'ad        \'8c\'9cgJ\'82\}\'88]\'ddTb ]Hk@\'a6'u \'dd\'fa\'b0 \'f16Z \'fe\'ae\'fd'1g ^\'b1 \'83\'9f\'f6g\'9bJ\'e0'_\'a7\'b4G @xP\'fe     D\'a1 \'f8\\\'eb\'e4\'ea\'b7\'cb\'ce:\'e9\'a1q\'8a 5V@t\'84j\'ca\'9a G\'e1 :\
\'a9\'9f5l\'f5\'e8\'e8 6 \'c31~f\'e5t \'ec X\'e26 \'bb6X\'9c\'b67^\{\'b5\}\'f4\'e9\'e7\'ed >5\'c7\'a7\'d0\'d8\'d5 !b\'a1\'b1\'c2T        1<# \'f5T\'be\'b7        ul \'c3\'a7\'8c\'96 \'ee \'c4 84Iy\'adz*  \'89 \'e1(\'91\'a1d l\'e5\'c0\'f5X\'f8tz\'e1v3\'95\'e8T \'84QBcs 5NW0\'9e\'f9`)\'9ef\'80 \'94.^ S\'e1\'c3E\'f0e=T\'f2\'ea\'82O\'efe]2)4q+\'83DtI\'a7\'ae4(\'80S Nz\'e0\'d9\'a4 \'c6Y\'ea2\
\'9c      \'f9\'d2\'e9V\'93\'b4U %\'86\'c1\'88\'d2<u\'ac' \'e5\'8c\
....



Die ChaiOS Textbombe erzwingt einen iOS Absturz

Ein Problem mit der Linkvorschau von github.io bringt Apple Geräte zum einfrieren und wurde auf den Namen ChaiOS getauft. In der Vergangenheit gab es bereits diverse Textbomben, mit denen sich die iGeräte auf Eis legen lassen haben. Das Problem mit der Linkvorschau ist wohl auf den Open-Graph-Steitentitel-Tag in WebKit zurückzuführen. Falls der Sender versucht den Link von seinem iPhone zu versenden, kann es passieren dass sein Gerät dabei selbst einfriert.

Das Einfrieren durch ChaiOS verhindern!

Es gibt verschiedene Wege den Absturz der Geräte zu verhindern. Unter iOS macht man Gebrauch von den Safari Einstellungen:

Allgemein -> Einschränkungen -> Websites -> Jugendfreie Inhalte

Nie erlauben -> „github.io“

Unter macOS lässt sich die gleich Möglichkeit nutzen. Dafür müssen die „Benutzer & Gruppen“ angesteuert werden. Anschließend wird die „Kindersicherung“ aktiviert und „github.io“ blockiert. Links, die man zugesendet bekommt, führen dann nicht mehr zu einem Absturz.

Nicht nur iPads, iPhones und Macs haben Probleme mit großen Textdateien.

Wer sich für die Problematik großer Textdateien interessiert, dem sei das Video „Die ZIP-Bombe“ von SemperVideo ans Herz gelegt. Dort wird leicht verständlich erklärt, weshalb gezippte Textdateien für Virenscanner und ISP zum Problem werden können. Das man ZIP-Dateien von unbekannten Absendern jedoch nicht öffnet, sollte für viele keine Neuigkeit sein. Bis das Problem mit der Linkvorschau behoben ist, wird an der Stelle also empfohlen die Kindersicherung empfohlen. Sobald der Workaround von Apple veröffentlicht ist, kann diese wieder deaktiviert werden.

Video bringt iOS zum Absturz

Ein 5 Sekunden Video bringt iOS zum Absturz. Mit kurzer Verzögerung ist das iOS Gerät nicht mehr zu bedienen und muss mithilfe eines Hard Reset neu gestartet werden. Bekannt ist bisher lediglich, dass es ein Video im MP4 Format ist, welches nach dem Betrachten dafür sorgt, dass das Handy nach 10 – 30 Sekunden einfriert und nicht mehr bedienbar ist. Erstellt wurde das kurze Video mit der chinesischen Video-App Miaopai. Vermutet wird, dass die Datei defekt ist. Mit diesem Fehler kann das mobile Betriebssystem nicht umgehen und schauffelt den Speicher voll – bis zu dem Zeitpunkt, an dem nichts mehr geht.

Was richtet das Kurzvideo an Schäden an meinem iPhone an?

Der einzig bisher bekannte Schaden, den das Video anrichtet, ist das Einfrieren des Gerätes. Nachdem das Gerät neu gestartet worden ist, kann es wieder ohne Einschränkungen verwendet werden. Langzeitschäden am Gerät wurden bisher nicht festgestellt. Aus diesem Grund verbreitet sich das „Scherz“ Video rasant über soziale Netzwerke und Instant Messenger. Wer das Video nicht auf die „Funktionstüchtigkeit“ testen will, der kann sich das folgende Video anschauen:

Ein einziges Video bringt iPhone zum Absturz

Ein Betriebssystem ist ein äußerst komplexes Konstrukt. Das zeigt sich am Handling solcher Videos. Trifft die Vermutung zu, dass die Video Datei beschädigt ist, betont das die Wichtigkeit der Fehlerbehandlung in der Softwareentwicklung. Schließlich wird die Nutzererfahrung stark eingeschränkt, sobald man das Video angeschaut hat.




0 Gedanken zu „Sicherheitslücken die iOS zum Absturz gebracht haben!“

  1. Interessant das hier eine MMS wieder eingesetzt werden kann. Das erinnert mich an die Stagefright Lücke in Android. War damals ähnlich vom Angriffsvektor, da man sich gegen MMS nur bedingt schützen kann 🙂

    Guter Beitrag!

  2. Grüß dich Andre, und ein frohes neues Jahr!
    Stimmt, die MMS kommt hier auch neben einer iMessage auch in Frage. Hast du mehr über Stagefright bei dir im Blog geschrieben?
    Grüße aus Gelsenkirchen,
    Chris!

Schreibe einen Kommentar