Am 22. Juli veröffentlichte Apple
ein Update für das iOS-Betriebssystem Version 12.4, mit dem drei schwerwiegende Sicherheitslücken geschlossen wurden, die von einer Expertin des Google Project Zero-Teams Natalie Silvanovich entdeckt wurden. Mit dem gefährlichsten (CVE-2019-8646) können Sie Daten von einem Remote-Gerät stehlen, ohne dass der Benutzer eingreifen muss. Es ist theoretisch möglich, willkürliche Informationen aufzuzeichnen, aber das tatsächliche Ausmaß des potenziellen Schadens für Besitzer gefährdeter Smartphones und Tablets wurde noch nicht vollständig untersucht.
Es gibt noch wenig Informationen zu anderen Sicherheitslücken. Es ist nur bekannt, dass eine davon (CVE-2019-8647) dazu führen kann, dass das SpringBoard-Modul, das für das Rendern des Startbildschirms von iOS-Geräten verantwortlich ist, abstürzt.
Silvanovich
hat den Proof of Concept für CVE-2019-8646 veröffentlicht, der ein typisches Betriebsszenario implementiert: eine vorbereitete Nachricht in iMessage, in der Daten an den Server des Angreifers gesendet werden, die dort nicht gesendet werden sollten. Schauen wir uns diese Sicherheitsanfälligkeit genauer an und sprechen wir gleichzeitig über den menschlichen Faktor bei der Verarbeitung von Sprachnachrichten für Siri und andere Sprachassistenten.
Die Offenlegung von Schwachstellendaten ist ein ziemlich interessanter Fall, wenn Medienvertreter die technische Beschreibung des Problems verstehen müssen. Alle Veröffentlichungen basieren auf drei Schwachstellenberichten im Tracker des Google Project Zero-Teams:
Es gibt Informationen über die gefährlichste Schwachstelle (Datenleck), es wird über den Springboard-Absturz berichtet,
hier über einen weiteren Speicherbeschädigungsfehler mit unbekannten Konsequenzen (oder ohne diese). - Die praktische Ausnutzung dieser Sicherheitsanfälligkeit ist schwierig. Informationen zu einem anderen Fehler (CVE-2019-8641) wurden noch nicht veröffentlicht, da der von Apple veröffentlichte Patch unwirksam war.
Sicherheitslücken sind nur bei Telefonen betroffen, die auf der neuesten Version von iOS 12 basieren. In Medienpublikationen mit unterschiedlichem Detaillierungsgrad werden eher vorsichtige Formulierungen zu technischen Details aus dem ursprünglichen Fehlerbericht zitiert, und für den durchschnittlichen Benutzer sieht die Situation seltsam aus: Der
Grad des Dramas ist nicht klar . Weitere Details werden höchstwahrscheinlich bei der Präsentation des Google Project Zero-Teams bekannt gegeben, die diese Woche auf der BlackHat-Konferenz geplant ist. Ein anderer Forscher nahm jedoch PoC Silvanovich und
nahm ein Video seiner Arbeit auf:
Um die Beschreibung zu vereinfachen, geschieht Folgendes: Eine vorbereitete iMessage-Nachricht mit einer URL wird an den Benutzer gesendet. Der iMessage-Client auf dem Telefon versucht, diese Nachricht automatisch zu verarbeiten. In einigen Fällen wird die Adresse gesendet. Ein Fehler im Handler führt zu einer falschen Bestimmung der Anzahl der Zeichen in der URL. Infolgedessen wird beim Aufrufen der Inhalt des benachbarten Speicherblocks als Parameter zur ursprünglichen Adresse hinzugefügt. Der Server des Angreifers muss nur den Anruf registrieren und die Daten dekodieren. Die gesamte Bandbreite an Informationen, die auf diese Weise gestohlen werden können, wurde noch nicht genau bestimmt: Das iMessage-Nachrichtenarchiv und die Binärdaten werden erwähnt. Das obige Video zeigt ein Beispiel für einen Angriff auf das SpringBoard-Modul, bei dem das zuvor vom Gerätebesitzer angezeigte Bild verloren geht.
Trotz der Tatsache, dass noch nicht alle Konsequenzen der Ausnutzung dieses Problems untersucht wurden, beschränken sich die
Kommentare einiger Branchenvertreter auf die Tatsache, dass die Einstellung zur iPhone-Sicherheit überprüft werden sollte. Wir glauben nicht, dass dies ein guter Grund ist: Die Sicherheit eines bestimmten Systems anhand der Anzahl und Komplexität
geschlossener Fehler zu bewerten, ist in den meisten Fällen eine schlechte Idee. Es ist jedoch nicht überflüssig, das iOS-Update zu installieren, wenn dies noch nicht geschehen ist: Jeder Fehler, der ohne Wissen des Benutzers ausgeführt wird, ist per Definition gefährlich.
Leiden bei der SpracherkennungDie Quelle des Bildes und die ursprüngliche Künstlerin Vasya Lozhkina.Eine weitere Neuigkeit im Zusammenhang mit Apple ist das Siri-Spracherkennungssystem. Am 26. Juli veröffentlichte die britische Veröffentlichung The Guardian
einen Artikel, in dem die Arbeit von Auftragnehmern des Unternehmens beschrieben wird, die die Funktionsweise automatisierter Algorithmen verbessern. Im Allgemeinen ist dies logisch: Wenn in der Sprache des Teilnehmers etwas nicht entschlüsselt wird, sollten Sie versuchen, das System zu verbessern. Bei diesem Ansatz können Sie jedoch das Risiko für die Privatsphäre erkennen, insbesondere wenn Sie bedenken, dass sich der Sprachassistent manchmal einschaltet und den Ton nicht auf Befehl des Teilnehmers, sondern zufällig selbst aufzeichnet. Dies in einem Artikel The Guardian bezeugt einen anonymen Vertreter des Auftragnehmers Apple.
Apple ist nicht das erste Unternehmen, das wegen der Anwesenheit von Einheiten von "Live-Hörern" des Spracherkennungssystems kritisiert wird. Am 10. Juli berichtete die belgische Veröffentlichung VRT nicht nur über ähnliche Praktiken, sondern auch über das Durchsickern von Aktenarchiven eines Google-Auftragnehmers. Im April wurde ein ähnlicher Bericht über das Spracherkennungssystem von Amazon Alexa
veröffentlicht .
Wenn bei Ihnen ein Gerät erscheint, das ständig Ton aufzeichnet und manchmal eine Aufzeichnung an den Hersteller sendet, gibt es per Definition viele Fragen zum Datenschutz. Der Grund für die breite Diskussion der drei genannten Medienmaterialien war die „unerwartete“ Entdeckung: Wie sich herausstellt, hören Ihre Sprachbefehle nicht nur einer seelenlosen Maschine zu, sondern auch einer lebenden Person. Während Amazon, Google, Apple und sogar Yandex versuchen, eine neue praktische Funktion zu nutzen, müssen sie das Vertrauen der Benutzer sicherstellen, auch wenn keine direkte Gefahr eines Datenverlusts besteht. In den meisten Fällen ist dies nicht der Fall: Maximal ein Hundertstel aller Aufzeichnungen wird an Auftragnehmer übertragen, ohne dass die Möglichkeit besteht, bestimmte Benutzer zu identifizieren.
Trotzdem ist es irgendwie notwendig zu reagieren, und bis jetzt kommt dies heraus. Apple hat das QS-Programm von Siri
ausgesetzt . Amazon hat eine Datenschutzeinstellung
hinzugefügt , die die Spracherkennung für Ihr Konto blockiert. Google hat
die Überprüfung von Aufzeichnungen in der Europäischen Union
ausgesetzt , da die Aufsichtsbehörden Fragen zur Einhaltung der DSGVO durch solche Praktiken haben. Es scheint schön zu sein, die Privatsphäre der Verbraucher kann in diesem Fall noch besser geschützt werden als in anderen Situationen. Die Frage ist, inwieweit die Ablehnung der Kontrolle die Qualität der Anerkennung beeinflusst. Der Moment, in dem die Gesellschaft die Wahl hat: schnellerer Fortschritt oder weniger Eingriffe in das Privatleben.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.