Apple Sicherheits-Updates: iOS-Geräteverfolgung, RCE-Fehler

Apples iOS 13.3.1-Update enthält eine Reihe von Sicherheitspatches und eine Möglichkeit, die U1-Ultra-Breitbandverfolgung abzuschalten.

Apples neueste Sicherheitskorrekturen, die am Dienstag veröffentlicht wurden, beheben eine Vielzahl von Fehlern, einschließlich mehrerer Patches für risikoreiche Fehler, die eine entfernte Codeausführung (RCE) ermöglichen könnten. Von besonderem Interesse für datenschutzbewusste iPhone 11-Benutzer ist ein iOS 13.3.1-Update, das es Benutzern ermöglicht, die U1-Ultra-Breitband-Geräteverfolgung abzuschalten.

Die Fixes beheben Schwachstellen in Apples Xcode, watchOS, Safari, iTunes für Windows, iOS, iPadOS, macOS und tvOS. Zu den schwerwiegendsten Fehlern gehören vier RCE-Fehler im Betriebssystem von Apple TV, tvOS - jeder Fehler wurde als hochgradig schwerwiegend eingestuft.

Ein tvOS-RCE-Fehler, der als CVE-2020-3868 verfolgt wird, hat einen CVSS-Schweregrad von 8,8 von 10, der höchste Wert unter den am Dienstag gepatchten Fehlern. Der Fehler ist mit mehreren Problemen der Speicherbeschädigung in Apples Browser-Engine WebKit verbunden. "Indem er ein Opfer dazu bringt, eine speziell gestaltete Website zu besuchen, könnte ein Angreifer diese Schwachstelle ausnutzen, um beliebigen Code auf dem System auszuführen oder einen Denial-of-Service zu verursachen", so eine Beschreibung des Fehlers.

Die anderen tvOS-Codeausführungsfehler (CVE-2020-3840, CVE-2020-3870, CVE-2020-3878) haben alle eine CVSS-Bewertung von 7,8. Zwei der RCE-Schwachstellen sind an die Imageio-Python-Bibliotheken tvOS gebunden, und die andere ist an Apples Verwendung der sicheren Netzwerkprotokoll-Suite IPSec gebunden.

Im Dezember letzten Jahres berichtete KrebsOnSecurity erstmals über einen Verfolgungsmechanismus in der iPhone 11-Familie von Mobiltelefonen. Die Nachverfolgung erfolgte unabhängig davon, ob ein iPhone 11-Benutzer die Ortungsdienste des Mobiltelefons ausgeschaltet hat oder nicht. Nach einigen Nachforschungen des Autors der Website, Brian Krebs, stellte er fest, dass die Verfolgungsfunktion an die Verwendung von Apples eigenem U1-Chip gebunden war, der 2019 eingeführt und erstmals in iPhone 11S verwendet wurde.

Der U1-Chip nutzt die Ultra-Wideband-Technologie und soll die Leistung von Apple-Diensten wie AirDrop verbessern. Der U1 geht so weit, dass er eine präzise Position und ein räumliches Bewusstsein für die Position des iPhone 11 im Vergleich zu anderen Apple-Geräten im selben Raum liefert. So kann jemand sein iPhone 11 auf ein anderes iPhone 11 richten und dieses Gerät automatisch an der Spitze der AirDrop-Liste für die Übertragung von Dateien erscheinen lassen - ohne dass eine manuelle Suche erforderlich ist.

Benutzer äußerten Bedenken, dass der neue Chip die Verfolgung der Standorte von iPhone 11-Benutzern ermöglicht. Um dieses Problem zu beheben, hat Apple nun einen Schalter zur Deaktivierung der Standortverfolgung für Netzwerk- und Drahtlosfunktionen hinzugefügt. Mit dem Erscheinen von iOS 13.3.1 können Benutzer nun die Ortungsfunktion abschalten, entweder beim Abschalten der Ortungsdienste oder selektiv. Um sie abzuschalten, können Benutzer zu Einstellungen > Datenschutz > Standortdienste > Systemdienste gehen.

Die Sicherheitsaktualisierungen vom Dienstag folgen auf mehrere gestaffelte iOS-13-Updates. In ihrem Gefolge sieht sich Apple der Kritik ausgesetzt, da es sich aus Sicht der Kritiker um eine stückweise Veröffentlichung des Betriebssystems handelt. Im vergangenen Monat hat Apple das Betriebssystem auf iOS 13.3 aktualisiert, was die dritte Aktualisierung von iOS und iPadOS 13 seit der Einführung am 19. September war. Seit der Veröffentlichung von iOS 13 musste Apple auch eine Reihe von Sicherheitspatches herausgeben, darunter einen Tastaturfehler und einen Fehler bei der Umgehung der Bildschirmsperre.

Anzeige

Anzeige