Nur Panikmache oder sind die Bedenken berechtigt?
Zur Vorgeschichte, Jailbreakme.com nutzte schon mit Release von iOS 4 eine PDF Sicherheitslücke um den das iPhone / iPad zu jailbreaken. In der Theorie war es jedem Programierer möglich entsprechende „verseuchte“ PDf Datein bereit zu stellen und zu verbreiten, die das Gerät unbemerkt ausspionieren. Apple reagierte wenige Tage später und veröffentlichte ein Firmware Update. Eigentlich sollte man meinen Apple hat aus dieser „Misere“ gelernt. Doch seit gestern, mit Veröffentlichung des Jailbreakme 3.0 Jailbreaks besteht das gleiche Problem erneut. Wieder wird mit Hilfe eines PDF Hintertürchens der 1 Click Jailbreak möglich. Einfach und elegant für den Benutzer doch leider zeigt es auch wie angreifbar jedes iOS 4 Device ist, denn Schadsoftware ließe sich auf die selbe Weise installieren.

Zitat BSI: „Bereits das Anklicken eines manipulierten PDF-Dokuments oder das Ansurfen einer mit PDF-Dokumenten versehenen Webseite reichen aus, um das mobile Gerät ohne Wissen des Nutzers mit Schadsoftware zu infizieren. Die Schwachstellen ermöglichen es potenziellen Angreifern, Zugriff mit Administratorrechten auf das komplette System zu erlangen.“

Welche Geräte sind betroffen?

• Apple iOS für iPhone 3GS und iPhone 4 bis einschließlich Version 4.3.3
• Apple iOS für iPad und iPad 2 bis einschließlich Version 4.3.3 sowie
• Apple iOS für iPod touch bis einschließlich Version 4.3.3

Bislang haben über eine halbe Millionen Benutzer den PDF Jailbreak durchgeführt und dieser ist bislang auch die einzige Möglichkeit sich effektiv gegen unbemerkten Datenkalu zu schützen! Kling paradox ist aber so.

Wie kann ich die iOS 4 PDF Sicherheitslücke schließen?

1. den Jailbreak via jailbreakme.com durchführen

2. Cydia starten und das Paket PDF PATCHER 2 installieren. Euer iDevice ist nun vor unerwünschten und gefährlichen PDF Angriffen geschützt. Weitere Empfehlungen des BSI:

• PDF-Dokumente aus unbekannten oder unsicheren Quellen nicht auf iOS-Geräten zu öffnen. Dies gilt sowohl für PDFs, die im Rahmen von Webseiten bereitgestellt werden, als auch für PDFs in E-Mails oder anderen Applikationen.
• Die Nutzung des Browsers auf dem mobilen Endgerät sollte auf vertrauenswürdige Webseiten beschränkt werden.
• Hyperlinks in E-Mails oder auf Webseiten sollten nur geöffnet werden, wenn diese aus vertrauenswürdigen Quellen stammen.
• Bei der Nutzung von Suchmaschinen sollte man bei den Ergebnissen in der Trefferliste darauf achten, nicht ein PDF-Dokument anzuklicken.