Dem BSI zufolge enthält das Betriebssystem "in der zur Betrachtung von PDF-Dateien verwendeten Bibliothek kritische Schwachstellen". Bereits das Anklicken eines manipulierten PDF-Dokuments oder das Ansurfen einer mit PDF-Dokumenten versehenen Webseite reiche aus, "um ein mobiles Gerät ohne Wissen des Nutzers mit Schadsoftware zu infizieren".
Die Schwachstellen, heißt es in einer Pressemitteilung des BSI, "ermöglichen es potenziellen Angreifern, Zugriff mit Administratorrechten auf das komplette System zu erlangen". Ein Patch für diese Sicherheitslücke stehe bislang nicht zur Verfügung. Allerdings, so berichten unterschiedliche Medien übereinstimmend, dass Apple sich des Problems bei iOS bewusst sei und an einer Lösung des Problems arbeite.
Ähnliche Schwachstellen, so das BSI, sind bereits im August 2010 bekannt geworden und "innerhalb kurzer Zeit geschlossen worden". So gehen die Sicherheitsexperten auch diesmal davon aus, "dass Apple zeitnah ein Sicherheits-Update veröffentlichen wird, das die Schwachstellen schließt."
Wie man sich schützen kann
Bis zur Veröffentlichung eines solchen Updates empfiehlt das BSI, PDF-Dokumente aus unbekannten oder unsicheren Quellen nicht auf iOS-Geräten zu öffnen. "Dies gilt sowohl für PDFs, die im Rahmen von Webseiten bereitgestellt werden, als auch für PDFs in E-Mails oder anderen Applikationen." Zudem sollte die Nutzung des Browsers auf dem mobilen Endgerät auf "vertrauenswürdige Webseiten" beschränkt werden. Hyperlinks in E-Mails oder auf Webseiten sollten nur geöffnet werden, "wenn diese aus vertrauenswürdigen Quellen stammen". Bei der Nutzung von Suchmaschinen schließlich sollte man bei den Ergebnissen in der Trefferliste darauf achten, nicht ein PDF-Dokument anzuklicken.
So ernst man die Bedrohung nehmen sollte: Angriffe aufgrund dieser Sicherheitslücke sind dem BSI zufolge noch nicht beobachtet worden. "Es ist jedoch damit zu rechnen, dass Angreifer die Schwachstellen zeitnah ausnutzen werden", warnt das BSI. Mögliche Angriffsszenarien für Cyber-Kriminelle seien unter anderem "das Auslesen von vertraulichen Informationen (Passwörtern, Online-Banking-Daten, Terminkalendern, E-Mail-Inhalten, SMS oder Kontaktdaten), der Zugriff auf eingebaute Kameras, das Abhören von Telefongesprächen sowie die GPS-Lokalisierung des Nutzers."
Jailbreak deckt Sicherheitslücke auf
Hintergrund für die Entdeckung der Sicherheitslücke ist offenbar ein vor wenigen Tagen veröffentlichter Jailbreak für iOS 4.3.3. "Jailbreakme 3.0" ist untethered, muss also beim Gerätestart nicht extra gebootet werden. Jailbreaks waren in der Vergangenheit vor allem dazu gedacht, die umstrittenen Restriktionen bei der Software-Nutzung auf Apple-Geräten auszuhebeln. Geräte mit Jailbreaks können auch Apps außerhalb des iTunes-Store laden und betreiben.
Mit Jailbreakme kann man nicht nur das iPad 2, sondern auch andere iOS-Geräte mit der Version 4.3.3 von iOS modifizieren. Dabei handelt es sich um einen sogenannten Userland Jailbreak, der über einen Internet-Browser ausgeführt werden kann. Der Jailbreak nutzt für die Modifikation Sicherheitslücken im Betriebssystem.
Jailbreak-Programmerier liefert selbst ein Patch
Der Programmierer des Jailbreaks, der sich Comex nennt, legt in einer Erklärung zu dem Jailbreak Wert auf die Feststellung, dass er nicht für die Sicherheitslücke bei iOS 4.3.3 verantwortlich sei. "Ich habe die Anfälligkeit lediglich entdeckt", schreibt er auf der Webseite jailbreakme.com. Auch wenn die Veröffentlichung eines Jailbreaks nicht der normale Weg sei, um auf eine Schwachstelle hinzuweisen, so habe es aber denselben Effekt: Apple könne so sein mobiles Betriebssystem noch sicherer machen.
Ironischerweise bietet Comex zusammen mit dem Jailbreak selber einen Patch an, der die PDF-Sicherheitslücke schließen soll. Allerdings könne der Patch nur auf einem iPad oder iPhone installiert werden, dass zuvor mit einem Jailbreak geknackt worden sei. "Solange Apple noch keinen eigenen Patch veröffentlicht hat", schreibt Comex, sei das der beste Weg, um die Sicherheit auf den iOS-Geräten wiederherzustellen. Ob man diesen Ausführungen eines anonymen Hackers wie Comex allerdings Glauben schenken sollte, ist zumindest fraglich.