iOS und iPadOS 14.5 sind randvoll ausgestattet mit neuen Features – nun zeigt sich, dass sich Apple auch eines Sicherheitsaspekts annimmt, der Zero-Click-Exploits den Garaus machen soll. Angriffe dieser Art gelten als ziemlich ausgefeilt und bedürfen keiner Interaktion des Anwenders auf dem Zielgerät: So sorgte beispielsweise „Kismet“ für kompromittierte iMessages bei Journalisten (siehe ). Im kommenden Update für das iPad und iPhone bedient sich Cupertino einiger Vorkehrungen.


Apple macht es Hackern schwer
Wie Motherboard berichtet, nahm Apple Änderungen an den sogenannten Pointer Authentification Codes (PACs) vor. Diese tragen dafür Sorge, dass Änderungen an Code- und Funktionszeigern verhindert werden – und Systemsoftware sowie Apps geschützt sind. Die PAC-Technik findet nicht nur bei Apples ARM-Prozessoren Verwendung: Auch Hersteller wie Qualcomm setzen auf die Signierung von Kernel-Anweisungen und Daten mittels PAC. iOS und iPadOS 14.5 gehen nun einen Schritt weiter und signieren auch ISA-Pointer, um Angriffe weiter zu erschweren. So erklärt ein im Bericht genannter anonymer Sicherheitsforscher, dass einige Techniken für iPhone-Hacker nun unwiederbringlich verloren gingen. Adam Donenfeld, der sich ebenfalls auf die Erforschung von Sicherheitslücken spezialisiert hat, bestätigt die Wirksamkeit neuen Maßnahmen: Auch Sandbox-Ausbrüche seien nun schwieriger. Er räumt aber ein, dass Zero-Click-Exploits nicht gänzlich ausgeschlossen werden können.

Finale Version von iOS/iPadOS vermutlich im März
Damit schließt Apple eine Lücke, auf die Googles Project-Zero-Team bereits aufmerksam gemacht hatte. Cupertino bestätigte gegenüber Motherboard die erschwerten Rahmenbedingungen für Zero-Click-Exploits, warnt aber zugleich davor, den Fokus zu sehr auf eine Maßnahme zu richten: So sei das Zusammenspiel verschiedener Sicherheitsfunktionen entscheidend. iOS sowie iPadOS 14.5 liegen aktuell in der zweiten Beta vor. Mit der finalen Version ist in einigen Wochen zu rechnen.