E-Mails mit infizierten PDFs (Bild: Symantec)
Anklicken eines manipulierten PDF-Dokuments reicht aus
Bereits das Anklicken eines manipulierten PDF-Dokuments oder das Ansurfen einer mit PDF-Dokumenten versehenen Webseite reichen aus, um die mobilen iOS-Geräte iPhone, iPad und iPod touch ohne Wissen des Nutzers mit Schadsoftware zu infizieren. Die Schwachstellen ermöglichen es potenziellen Angreifern, Zugriff mit Administratorrechten auf das komplette System zu erlangen. Bislang steht laut BSI noch kein Patch für diese Sicherheitslücken zur Verfügung.
Von den Schwachstellen betroffen sind die Betriebssysteme Apple iOS für iPhone 3GS und iPhone 4 bis einschließlich Version 4.3.3, Apple iOS für iPad und iPad 2 bis einschließlich Version 4.3.3 sowie Apple iOS für iPod touch bis einschließlich Version 4.3.3. Derzeit ist laut BSI nicht auszuschließen, dass auch weitere Versionen des Betriebssystems iOS von der Schwachstelle betroffen sind.
Schwachstellen bekannt – aber noch keine Angriffe beobachtet
Die Schwachstellen sind öffentlich bekannt und Exploit-Code zu deren Ausnutzung ist in Hacker-Kreisen verfügbar. Zwar wurden noch keine Angriffe beobachtet, es ist jedoch damit zu rechnen, dass Angreifer die Schwachstellen zeitnah ausnutzen werden. Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem das Auslesen von vertraulichen Informationen (Passwörtern, Online-Banking-Daten, Terminkalendern, E-Mail-Inhalten, SMS oder Kontaktdaten), der Zugriff auf eingebaute Kameras, das Abhören von Telefongesprächen sowie die GPS-Lokalisierung des Nutzers.
Aufgrund der Popularität der iOS-Geräte werden diese häufig auch im beruflichen Umfeld genutzt. Nach Kenntnis des BSI werden insbesondere iPhone und iPad auch im höheren Management eingesetzt. Daher ist es möglich, dass die Schwachstellen auch für gezielte Angriffe auf Führungskräfte ausgenutzt werden, beispielsweise um an vertrauliche Unternehmensinformationen zu gelangen.
Empfehlung: nur PDFs aus sicheren Quellen anklicken
Empfehlungen des BSI: Bis zur Veröffentlichung eines Software-Updates des Herstellers sollten PDF-Dokumente aus unbekannten oder unsicheren Quellen auf iOS-Geräten nicht geöffnet werdn. Dies gilt sowohl für PDFs, die im Rahmen von Webseiten bereitgestellt werden, als auch für PDFs in E-Mails oder anderen Applikationen.
Die Nutzung des Browsers auf dem mobilen Endgerät sollte auf vertrauenswürdige Webseiten beschränkt werden. Hyperlinks in E-Mails oder auf Webseiten sollten nur geöffnet werden, wenn diese aus vertrauenswürdigen Quellen stammen. Bei der Nutzung von Suchmaschinen sollten Surfer bei den Ergebnissen in der Trefferliste darauf achten, nicht ein PDF-Dokument anzuklicken. Das BSI geht davon aus, dass Apple zeitnah ein Sicherheits-Update veröffentlichen wird, das die Schwachstellen schließt.
.