Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor zwei kritischen Schwachstellen in Apples Mobilbetriebssystem iOS.
Verwundbar sind laut BSI die iOS-Versionen 3.1.2 bis 4.0.1 für das iPhone, iOS 3.1.2 bis 4.0 für den iPod touch sowie iOS 3.2 und 3.2.1 für das iPad. Es sei nicht auszuschließen, dass auch ältere Versionen verwundbar sind.
Die erste Lücke befindet sich im PDF-Viewer und lässt sich zur Einschleusung von Schadcode missbrauchen. Mit Hilfe der zweiten Lücke im Betriebssystemkern kann sich der Code höhere Rechte verschaffen und aus der Sandbox ausbrechen. Zur Infektion muss man lediglich eine infizierte PDF-Datei öffnen. Das kann auch schon durch einen präparierten Link über Safari oder eine App geschehen.
Das BSI rät daher, bis die Lücken geschlossen sind keine PDF-Dateien auf iOS-Geräten zu öffnen und nur vertrauenswürdige Webseiten anzusteuern. Auch Links in Mails und auf Ergebnisseiten von Suchmaschinen solle man kritisch beäugen.
Mögliche Szenarien seien laut einer Mitteilung des BSI der Diebstahl von vertraulichen Daten wie Passwörtern, Terminen, Nachrichten und Kontakten, das Abhören von Telefongesprächen sowie die die Überwachung des Opfers mittels der iPhone-Kamera. Auch die Lokalisierung des Nutzers mittels GPS sei denkbar.
