iOS gilt als besonders sicheres mobiles Betriebssystem, insbesondere im Vergleich zum Konkurrenten Android, auf den laut einer Studie im Jahr 2012 79% der Angriffe abzielten. Der oft kritisierte restriktive Umgang Apples mit Entwicklern von iOS-Software mit dezidierten Vorgaben und dem App Sandbox-System, durch das eine App nur auf kleine Teile der Nutzerdaten und Systemressourcen zugreifen kann, leisten einen Beitrag dazu.
Adi Sharabina von Skycure Security - einer Firma, die gerade eine mobile Firewall entwickelt - stellt in seinem Blog dar, dass auch unter iOS Passwörter und Daten einer sicheren Verbindung (https) ausgelesen werden könnten. Als Mittel dazu könnten die iOS Profile dienen; das sind kleine Dateien, die heruntergeladen werden und dann Einstellungen des iPhone so ändern, wie es für einen bestimmten Dienst notwendig ist. An und für sich wird das von Anbietern sinnvoll verwendet und von Apple auch so gebilligt. Allerdings konnte Sharabina durch ein eigenes iOS Profil zeigen, dass er einem Nutzer, der dieses lädt, dessen Aktivitäten im Internet nachvollziehen und Root-Zertifikate installieren kann. Letzteres ermöglicht die Entschlüsselung von SSL/TLS-Verbindungen und damit auch das Auslesen von Passwörtern und Daten, die besonders gesichert sein sollten.
Im Gegensatz zu klassischen Sicherheitslücken ist hier allerdings keine Einschleusung von Malware im Hintergrund möglich. iOS Profile müssen vom Nutzer aktiv heruntergeladen werden; daher sollte jeder bei solches Profilen sicher sein, dass der Anbieter seriös und der Download sicher ist. Weiterhin sei noch einmal darauf hingewiesen, dass es keine Berichte über tatsächliche Angriffe durch iOS Profile gibt, sondern lediglich die Möglichkeit eines Angriffs aufgezeigt wurde.

Weiterführende Links:

• Blog von Skycure Security
• MTN: Mobile Threat Report: Angriffe gegen Android nehmen zu, iOS auch im V...