Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) warnt vor zwei gefährlichen Sicherheitslücken in Apples mobilem Betriebssystem, durch die Angreifer die Kontrolle über iPhone & Co. übernehmen können.

Bisher galten mobile Apple-Geräte als sicher, weil sie nach dem sogenannten Sandbox-Prinzip arbeiten. Vereinfacht gesagt, laufen dabei installierte Programme getrennt vom Betriebssystem und können so keinen Schaden anrichten. Sollte diese Annahme bisher richtig gewesen sein, kann man sie aber spätestens jetzt getrost vergessen.

Am Wochenende ging die Meldung durchs Internet, dass Besitzer eines iPhone, IPad oder iPod Touch ihre Systeme durch einen Hack entsperren können. Das heißt, auch Applikationen, die nicht über Apples iTunes Store bezogen wurden, können auf den Geräten installiert werden. Und weil kurz zuvor der US-Kongress eine Ausnahme im Urheberrechtsschutz gemacht hat, ist so ein "Jailbreak" auch ganz legal – und einfach. Über die Webseite Jailbreakme.com kann man sein Gerät ganz bequem von Apples Fesseln befreien.

Angreifer mit Administratorrechten

Eigentlich könnten sich Apple-Nutzer über den Weg in die Freiheit freuen – wenn da nicht ein riesengroßer Wermutstropfen wäre. Es hat sich nämlich herausgestellt, dass das Jailbreak offenbar zwei dicke Schwachstellen in Apples aktuellem mobilen Betriebssystem ausnutzt, durch die Kriminelle auch Schadcode einschleusen können – sogar über die Sandbox hinaus ins eigentliche Betriebssystem. Dazu genügt es, mit dem mobilen Browser eine manipulierte Seite zu öffnen oder eine präparierte PDF-Datei anzuklicken. Mit Administratorrechten ausgestattet, könnten Angreifer vertrauliche Daten wie Passwörter auslesen, auf Kamera und GPS-Ortung zugreifen und Telefongespräche abhören.

PDF-Dateien vorerst tabu

Apple nimmt das Problem laut einer Sprecherin ernst und hat eine Untersuchung eingeleitet. Auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) stuft das Problem als schwerwiegend ein und warnt mobile Apple-Nutzer. Betroffen sind laut BSI die iPhone- und iPod-Touch-iOS-Versionen 3.1.2 bis 4.0.1 und die iPad-Versionen 3.2  bis 3.2.1. Es sei aber nicht auszuschließen, dass auch ältere Versionen des Betriebssystems die Schwachstelle aufweisen.

Das BSI empfiehlt, auf mobilen iOS-Geräten so lange keine PDF-Dokumente zu öffnen und nur vertrauenswürdige Webseiten zu besuchen, bis Apple ein Update (Patch) veröffentlicht.