Multiple Products

Die Schwachstelle liegt in der Zertifikatsprüfung mehrerer Apple-Betriebssysteme – iOS und iPadOS für iPhones und iPads, macOS für Mac-Rechner sowie watchOS für die Apple Watch. Auf diesen Systemen darf grundsätzlich nur Software laufen, deren Signatur das Betriebssystem zuvor anhand eines Zertifikats als gültig anerkennt. Wegen der fehlerhaften Validierung kann eine bösartige App diese Signaturprüfung umgehen und sich als vertrauenswürdig ausgeben, obwohl sie es nicht ist. Dadurch lässt sich der eigentliche Schutzmechanismus aushebeln, der unautorisierten oder manipulierten Code vom System fernhalten soll. Voraussetzung ist, dass die schädliche App auf das Gerät gelangt und ausgeführt wird. Apple liegt ein Bericht vor, wonach die Lücke auf älteren iOS-Ständen bereits aktiv ausgenutzt wurde. Betroffen sind sämtliche genannten Plattformen, also ein breites Spektrum an Apple-Geräten vom Smartphone bis zur Smartwatch.