SSIDs mit Format Strings könnten auch Code einschleusen
Durch einen jetzt bekanntgewordenen Fehler in iOS 14, können bei der SSID Verarbeitung von formatierten WLannamen das iPhone manipuliert und auch Fremdcode eingeschleust werden, der das ausführen von beliebigen Code ermöglicht.
Schwachstelle ist ab iOS Version 14.7 behoben
Beim bekannt werden dieses Fehler war es sogar möglich, Programmcode auf iPhones auszuführen, ohne das das Opfer dafür eine Aktion ausführen musste. Eine Verbindung mit einem WLAN das eine manipulierte SSID verwendete war also überhaupt nicht nötig gewesen. Apple hatte diesen massiven Fehler aber bereits Anfang des Jahres mit der iOS Version 14.4 behoben.
Eine Ausführung schadhaften Programmcodes war aber bei einer Verbindung von manipulierten SSID’s weiterhin bis zu Version 14.6 möglich, diesmal aber ausschließlich bei erfolgreicher Verbindung mit einem manipulierten WLan. Die „WiFi Demon“ benannte Sicherheitslücke, wurde aber nun endgültig mit der Version 14.7 vollständig geschlossen.
Auch iPadOS ist betroffen
Wir empfehlen dir auf jeden Fall so schnell wie möglich die aktuellste Version von iOS und iPadOS zu installieren. Ist ein Update nicht möglich, raten wir dir von der Verwendung von öffentlichen Hotspots oder SSID’s mit merkwürdigen Namen ab.
Ungewöhnlich lange dauerte auch das Update für iPadOS. Ältere Geräte mit der Version 12.x seien von dem Vorfall nicht betroffen, merkt ZecOps an. Ob Apples Update Version 14.7 auch gegen die jüngst bekannt gewordene Spionage Software „Pegasus“ gewappnet ist, ist aktuell noch unklar.
Wir bleiben aber dran und werden dich hier sofort informieren sobald es Neuigkeiten dazu gibt.