@golem zero click <- / -> zero day

Also im verlinkten Artikel finde ich nichts über "zero day" Exploitation und auch vom Lesen des Artikels fehlt mir die Verbindung.

Ist vielleicht doch die Bug Beschreibung "zero clicks" oder das Projekt "Google Project Zero" gemeint?

Hallo Aki-San,

es handelt sich wie im Artikel geschrieben um Zero-Day-Sicherheitslücken, die seit mehreren Jahren ausgenutzt werden. Ein Patch wurde noch nicht ausgespielt.

Erschwerend hinzu kommt, dass es sich unter iOS 13 auch um Zero-Click-Sicherheitslücken handelt, die keine Nutzerinteraktion erfordern.

Mit Googles Project Zero haben die beiden Sicherheitslücken nichts zu tun - das steht aber auch nicht im Artikel :-)

Viele Grüße
Moritz

Was allerdings nirgens steht was genau diese Angriffe können.
Immo ist alles was ich lese eine Überfüllung des Mailspeichers
welcher Mail dann zum Absturz bringt. Eine andere Quelle schreibt
man könne Mails manipulieren ,ändern und versenden.
Dem wiederspricht Apple in seiner Aussage von heute.
Hier ist wohl wieder viel Lärm um nichts.
Der BSI will alles aus einer Pressequelle haben und spricht
daraufhin eine Warnung aus , sehr gewagt.



2 mal bearbeitet, zuletzt am 24.04.20 12:17 durch Grolox.

Hallo Grolox,

mit der Sicherheitslücke lässt sich Code im Rahmen der Mailapp (iOS 12) beziehungsweise Maild (iOS 13) ausführen. Ein Angreifer kann damit beispielsweise die Angreifer-E-Mail wieder löschen. Um das komplette iPad oder iPhone zu übernehmen braucht es eine weitere Sicherheitslücke, mit der die Rechte ausgeweitet werden. Das ist keineswegs unüblich, häufig werden mehrere Sicherheitsücken kombiniert um in ein Gerät zu kommen und anschließend Root-Rechte zu erlangen - das wird Chaining genannt. Das steht übrigens genau so im Artikel.

Eine Sicherheitslücke, mit der man ohne Nutzerinteraktion in ein Gerät gelangen kann, ist also im Gesamtkontext-betrachtet immens gefährlich.

Viele Grüße
Moritz

Danke für die Informationen Moritz.
Aber genau das würde nicht gehen sagt Apple.
Gibt es für dieses Vorgehen gesicherte Beweise
und ich meine bestätigte Beweise nicht irgendwas
wie „ hat wer gesagt“ .

Ach , noch eine Frage Moritz.
Was glaubst du , wieviel Menschen ( Hacker ) so ein wissen haben
dazu über mehrere Lücken Informationen haben um dann so eine
Attacke auszuführen.
Um dann Mails von VIPs oder Managern oder dem kleinen
Mann ( ich ) lesen , verändern oder das iPhone übernehmen
zu können?
3 , 4 ....10
Immerhin kosten solche seltenen Lücken schon mal 1 Milion Dollar
oder mehr.



4 mal bearbeitet, zuletzt am 25.04.20 19:53 durch Grolox.