1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Zero Day: iOS wird über präparierte E…

@golem zero click <- / -> zero day

  1. Thema

Neues Thema Ansicht wechseln


  1. @golem zero click <- / -> zero day

    Autor: Aki-San 24.04.20 - 11:37

    Also im verlinkten Artikel finde ich nichts über "zero day" Exploitation und auch vom Lesen des Artikels fehlt mir die Verbindung.

    Ist vielleicht doch die Bug Beschreibung "zero clicks" oder das Projekt "Google Project Zero" gemeint?

  2. Re: @golem zero click <- / -> zero day

    Autor: mtr (golem.de) 24.04.20 - 12:06

    Hallo Aki-San,

    es handelt sich wie im Artikel geschrieben um Zero-Day-Sicherheitslücken, die seit mehreren Jahren ausgenutzt werden. Ein Patch wurde noch nicht ausgespielt.

    Erschwerend hinzu kommt, dass es sich unter iOS 13 auch um Zero-Click-Sicherheitslücken handelt, die keine Nutzerinteraktion erfordern.

    Mit Googles Project Zero haben die beiden Sicherheitslücken nichts zu tun - das steht aber auch nicht im Artikel :-)

    Viele Grüße
    Moritz

  3. Re: @golem zero click <- / -> zero day

    Autor: Grolox 24.04.20 - 12:13

    Was allerdings nirgens steht was genau diese Angriffe können.
    Immo ist alles was ich lese eine Überfüllung des Mailspeichers
    welcher Mail dann zum Absturz bringt. Eine andere Quelle schreibt
    man könne Mails manipulieren ,ändern und versenden.
    Dem wiederspricht Apple in seiner Aussage von heute.
    Hier ist wohl wieder viel Lärm um nichts.
    Der BSI will alles aus einer Pressequelle haben und spricht
    daraufhin eine Warnung aus , sehr gewagt.



    2 mal bearbeitet, zuletzt am 24.04.20 12:17 durch Grolox.

  4. Re: @golem zero click <- / -> zero day

    Autor: mtr (golem.de) 24.04.20 - 12:29

    Hallo Grolox,

    mit der Sicherheitslücke lässt sich Code im Rahmen der Mailapp (iOS 12) beziehungsweise Maild (iOS 13) ausführen. Ein Angreifer kann damit beispielsweise die Angreifer-E-Mail wieder löschen. Um das komplette iPad oder iPhone zu übernehmen braucht es eine weitere Sicherheitslücke, mit der die Rechte ausgeweitet werden. Das ist keineswegs unüblich, häufig werden mehrere Sicherheitsücken kombiniert um in ein Gerät zu kommen und anschließend Root-Rechte zu erlangen - das wird Chaining genannt. Das steht übrigens genau so im Artikel.

    Eine Sicherheitslücke, mit der man ohne Nutzerinteraktion in ein Gerät gelangen kann, ist also im Gesamtkontext-betrachtet immens gefährlich.

    Viele Grüße
    Moritz

  5. Re: @golem zero click <- / -> zero day

    Autor: Grolox 25.04.20 - 19:39

    Danke für die Informationen Moritz.
    Aber genau das würde nicht gehen sagt Apple.
    Gibt es für dieses Vorgehen gesicherte Beweise
    und ich meine bestätigte Beweise nicht irgendwas
    wie „ hat wer gesagt“ .

    Ach , noch eine Frage Moritz.
    Was glaubst du , wieviel Menschen ( Hacker ) so ein wissen haben
    dazu über mehrere Lücken Informationen haben um dann so eine
    Attacke auszuführen.
    Um dann Mails von VIPs oder Managern oder dem kleinen
    Mann ( ich ) lesen , verändern oder das iPhone übernehmen
    zu können?
    3 , 4 ....10
    Immerhin kosten solche seltenen Lücken schon mal 1 Milion Dollar
    oder mehr.



    4 mal bearbeitet, zuletzt am 25.04.20 19:53 durch Grolox.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Proximity Technology GmbH, Hamburg
  2. Reply AG, Köln, Berlin
  3. Erstes Deutsches Fernsehen Programmdirektion, München
  4. Blutspendedienst des Bayerischen Roten Kreuzes gGmbH, Wiesentheid

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 24,99€
  2. 20,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de