Sicherheitslücken in Apple iOS, die Sie kennen sollten
Auch Apple iOS weist Schwachstellen oder Sicherheitslücken auf. IT-Teams sollten diese kennen und wissen, welche Patches Apple zur Lösung dieser Probleme bereitstellt.
Apple iOS bleibt das primäre mobile Betriebssystem für den Unternehmenseinsatz. Experten hielten es jahrelang für das mit Abstand sicherste mobile OS.
In den letzten Jahren haben die Macher von Android jedoch beim Thema Sicherheit aufgeholt, unter anderen mit Innovationen wie Google Play Protect, Project Treble und dem Schwerpunkt auf Verbesserungen bei Android Enterprise. Da sich sowohl iOS als auch Android mittlerweile aus Sicherheitssicht für den Unternehmenseinsatz eignen, sollten die IT-Teams mit den Bedrohungsszenarien für die eingesetzten Geräte vertraut sein.
Vor allem die Administratoren von mobilen Geräten müssen die großen Sicherheits-Schwachstellen von iOS Enterprise kennen, welche Patches es für diese Probleme gibt und wie sicher das Betriebssystem insgesamt ist.
Überblick: Wichtige Schwachstellen in Apple iOS
Apples iOS 12.4 weist auf Probleme mit iMessage hin. Gewisse iMessage-Exploits führten zum Absturz von iPhones, wenn Benutzer bestimmte Zeichenketten erhielten.
Eine dieser iOS-Schwachstellen verhindert, dass iPhone-Nutzer auf iMessages antworten, nachdem sie diese Zeichenkette erhalten haben und sogar nachdem sie ihre Geräte zurückgesetzt haben. Diese Schwachstelle erfordert eine Rückkehr zu den Werkseinstellungen, um das Gerät wieder einsatzbereit zu machen.
Die Hälfte der von Apple in iOS 12.4 behobenen Common Vulnerabilities and Exposures (CVE) betrifft die Ausführung von beliebigem Code. Die meisten dieser Schwachstellen wurden von Forschern entdeckt und noch nicht von bösartigem Code ausgenutzt, aber Hacker verwenden CVEs oft als Blaupausen, um Exploits für ungepatchte Systeme zu entwickeln.
Ein historischer Vorteil von Apple iOS für die Sicherheit im Unternehmen ist die Art und Weise, wie Betriebssystem-Updates auf die Endgeräte erfolgen beziehungsweise erzwungen werden. Neuere Versionen von iOS erlauben es iPhone-Administratoren jedoch, eine Wartezeit von 90 Tagen einzuräumen, bevor die neueste Version auf Unternehmensgeräten zugelassen wird. Die Autoren von Malware können diesen Zeitrahmen problemlos ausnutzen.
Das Fehlen umfassender Verwaltungs-Kontrollen für mobile Geräte kann dazu führen, dass Hacker Informationen von ungeschützten Geräten abrufen.
Da Apple der Marktführer für mobile Geräte im Unternehmen ist, lohnt sich der Aufwand für Hacker, um Exploits zu entwickeln, auch wenn die Exploits nur für kurze Zeit funktionieren. Sofern ein Unternehmen keine benutzerdefinierten Anwendungen einsetzt, die mit jedem neuen Betriebssystem-Update getestet werden müssen, ist die beste Vorgehensweise, Betriebssystem-Updates so schnell wie möglich nach der Veröffentlichung auf mobile Endgeräte zu übertragen.
Sicherheitslücken von iOS Enterprise in Apps
Auch die Anwendungsschicht auf iOS-Geräten bereitet Grund zur Sorge. Die meisten sicherheitsbewussten Unternehmen verfügen über eine Art E-Mail-Schutz, um zu verhindern, dass Phishing-E-Mails den Benutzer erreichen. Die End-to-End-Verschlüsselung in den meisten Mobile-Messaging-Anwendungen ermöglicht es Hackern, SMiShing-Nachrichten oder Nachrichten über Anwendungen von Drittanbietern an Benutzer zu senden, ohne einen Phishing-Filter zu durchlaufen. Die IT-Abteilung erkennt den Phishing-Versuch möglicherweise erst, wenn der Benutzer auf den bösartigen Link klickt.
Ein Grund: Die Akzeptanzraten für EMM-Tools (Enterprise Mobility Management) sind in Firmen immer noch bei weitem nicht so hoch wie bei den entsprechenden Management-Tools für PCs und Notebooks. Das Fehlen umfassender Verwaltungskontrollen für mobile Geräte kann aber dazu führen, dass Hacker Informationen von ungeschützten Geräten abrufen.
Die Messaging-App WhatsApp hat 2019 zwei große Schwachstellen erlebt. Die erste Schwachstelle ermöglichte es Angreifern, Spyware auf einem Gerät zu installieren, indem sie es einfach anriefen, auch wenn der Nutzer nicht antwortete – und der Benutzer erhielt keine Benachrichtigung über verpasste Anrufe. Die zweite Lücke ermöglichte es einem Hacker, die Nachrichten und die Absenderkennung eines Benutzers zu ändern. Die letztgenannte Schwachstelle lässt sich weiterhin ausnutzen. Obwohl es einige sichere Messaging-Systeme für Unternehmen gibt, erlauben viele Firmen WhatsApp aus Kosten- und Komfort-Gründen auf mobilen Geräten.
Diese Bedrohungen könnten den Eindruck erwecken, dass auch iOS nicht sicher genug für den Einsatz in Unternehmen ist. Firmen können aber mit Hilfe von EMM und anderen Sicherheits-Tools für mobile Geräte den Schaden mildern oder verhindern, den die Ausnutzung solcher Schwachstellen anrichten können. Damit Administratoren von mobilen Geräten künftig Schwachstellen schneller erkennen und beheben können, hat Apple für 2020 das Security Research Device Program angekündigt. Apple erhöhte zudem die Belohnung für das Erkennen von Bugs (Bug Bounty) sowie Exploits und erweiterte gleichzeitig den Kreis der Personen, die das Bounty-Programm in Anspruch nehmen können.
