Apple iPhone: Sicherheitslücke im USB-C-Port könnte Schadsoftware Zugriff auf sensible Daten gewähren
Das Apple iPhone 15 und das iPhone 16 (ca. 870 Euro auf Amazon) besitzen einen USB-C-Anschluss, der durch einen von Apple entwickelten Controller-Chip gesteuert wird. Wie Cyber Security News berichtet, konnten Sicherheitsforscher diesen "ACE3"-Chip erfolgreich hacken. Durch Sicherheits-Verbesserungen hat sich dies deutlich schwieriger gestaltet als noch beim älteren ACE2-Controller, der etwa bei MacBooks zum Einsatz gekommen ist.
Indem die elektromagnetischen Signale während des Startvorgangs analysiert wurden, konnten die Forscher den präzisen Moment bestimmen, in dem die Firmware validiert wird. Durch eine Technik, die sich "electromagnetic fault injection" nennt, konnte so eine modifizierte Firmware geladen werden, die Apples Validierung übersteht, und vom Controller ausgeführt wird. Laut der Sicherheitsforscher hat dies gravierende Implikationen, was die Sicherheit des iPhones betrifft, denn durch eine angepasste Firmware könnte unter anderem ein Jailbreak realisiert oder iOS selbst modifiziert werden. Schadsoftware könnte so theoretisch sensible Daten auslesen oder einzelne Geräte-Funktionen steuern.
Um dies zu ermöglichen, müssen Angreifer allerdings physischen Zugriff auf das iPhone haben, wodurch diese Sicherheitslücke für die meisten Nutzer nicht zum Problem werden sollte. Unterdessen berichtet BleepingComputer von neuen Phishing-Angriffen, die eine von Apples iMessage-Sicherheitsmaßnahmen umgehen. Denn Apple deaktiviert Links in Nachrichten, wenn diese nicht von Kontakten stammen. Sobald der Empfänger antwortet, werden die Links allerdings aktiviert. Angreifer versuchen dieses Verhalten auszunutzen, und Empfänger zu überzeugen, auf Nachrichten zu antworten, etwa indem darauf hingewiesen wird, dass eine Antwort mit dem Wort "STOP" weitere Nachrichten verhindert. Sobald geantwortet wurde, können beliebig Phishing-Links per iMessage geschickt werden. Wie auch bei E-Mails empfiehlt sich, keine Links zu öffnen, die von nicht vertrauenswürdigen Quellen stammen.