bluebit

Textbombe

Der Sammelbegriff 'Textbombe' beinhaltet eine Reihe von Softwarefehlern, die dazu führen, dass beim Empfang von bestimmten Zeichen zum Beispiel per WhatsApp oder E-Mail das Smartphone oder der Computer des Empfängers abstürzt.

Wie funktionieren Textbomben?

Alle bekannten Textbomben nutzen sogenannte Unicode-Bugs aus. Unicode ist ein internationaler Standard, der dafür sorgen soll, dass alle Elemente eines Textes (Buchstaben, Satzzeichen, Sonderzeichen, Schriftzeichen …) klar definiert sind, um sie auf unterschiedlichen Geräten in unterschiedlichen Regionen gleich darstellen zu können. Der seit 1991 bestehende Standard wird auch noch ständig um weitere Zeichen und Schriftsysteme ergänzt.

Die Ursachen für Unicode-Bugs, die für Textbomben missbraucht werden lassen sich grob in zwei Kategorien unterteilen.

Betriebssystem oder Software ist älter als Unicode

Betriebssysteme oder Software die bereits vor der Entstehung des Unicode-Standards entwickelt wurden sind häufig anfällig für Unicode-Bugs. Software die vor 1991 entwickelt wurde, greift größtenteils auf den sogenannten ASCII-Standard zurück, der bereits vor dem Unicode-Standard existierte. Durch die in dieser Software fehlende oder erst nachträglich eingebaute Unicode-Unterstützung kommt es dann beim Empfang oder der Verwendung bestimmter Zeichen dazu, dass die Software oder das gesamte Betriebssystem abstürzt.

Aktueller Unicode-Standard nicht integriert

Der in der Praxis weitaus häufiger auftretende Fall von Unicode-Bugs als Ursache von Textbomben sind Betriebssysteme und Software, bei denen zwar in der Entwicklung Unicode implementiert wurde, wo aber danach keine Aktualisierung des sich ständig weiterentwickelnden Standards mehr erfolgte. Durch die häufige Aktualisierung und die neuen Zeichen kann es passieren, dass eine Software die mit dem alten Unicode-Standard UTF-2 keine Probleme hatte plötzlich durch ein Zeichen das im UTF-8 oder UTF-16 Standard enthalten ist zum Absturz gebracht werden kann.

Welche Fehler werden von Textbomben ausgenutzt?

Die jeweils ausgenutzte Sicherheitslücke unterscheidet sich bei den einzelnen Textbomben deutlich voneinander. Alle Bugs haben aber gemeinsam, dass die Anzeige einer Unicode-Sequenz, egal ob diese durch das Gerät empfangen wird oder vom Nutzer selbst eingegeben wird, ausreicht, um einen Absturz zu verursachen.

Angegriffen werden dabei die Modelle der Software, die für die Darstellung des Textes verantwortlich sind. Dies ist bei Browsern beispielsweise die Rendering-Engine. Kann das verantwortliche Modul ein Zeichen oder eine Zeichenkette nicht korrekt darstellen, weil der dafür notwendige Unicode-Standard nicht implementiert wurde, kommt es zu einem Fehler. Dies kann zum Beispiel eine Schleife seien, die ohne Ende ausgeführt wird und so die Software oder das komplette System abstürzen lässt.

Wie kann man sich vor Unicode-Bugs beziehungsweise Textbomben schützen?

Ein Wundermittel gegen alle Arten von Unicode-Bugs gibt es nicht. Viele Bugs können verhindert werden, in dem der Nutzer seine Software stets auf dem neusten Stand hält. Besonders relevant sind hier Kommunikationstools wie WhatsApp, der Facebook-Messenger oder E-Mail-Programme, über die häufig Textbomben verteilt werden.

Auch die Betreiber der Plattformen über die Unicode-Bugs verbreitet werden, können durch Filter helfen Textbomben einzudämmen. Sie müssen dazu lediglich verhindern, dass Nachrichten die die Unicode-Zeichen enthalten, die der Auslöser des Fehlers sind, weiter verschickt werden können.

Außerdem empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in ihrem Ratgeber zum "IT-Grundschutz", dass auf Unicode-Zeichen beispielsweise in Dateinamen verzichtet werden soll, da so unbeabsichtigt Fehler ausgelöst werden könnten.

Bekannte Textbomben der letzten Jahre

Aufgrund der großen Anzahl der Textbomben beschränkt sich die folgende Auswahl auf die Textbomben mit der größten Verbreitung.

Unicode of Death – Apple iOS – Jahr 2013

Die sogenannte "Unicode of Death" Textbombe nutzte im August 2013 einen Bug aus, der unter iOS 6 und OS X 10.8 („Mountain Lion“) auftrat. Behoben wurde die Sicherheitslücke von Apple mit dem Update auf iOS 7 beziehungsweise OS X 10.9 ("Mavericks").

Die Angreifer haben dabei einen Fehler im Modul CoreText ausgenutzt. Die Textbombe hat dabei per Kurznachricht eine Unicode-Sequenz verschickt die aus fünf 16-Bit-Zeichen besteht und von CoreText nicht korrekt dargestellt werden konnte. Es konnte so ein 'Stack Overflow' ausgelöst werden, der dazu führte, dass das Programm das die Zeichenfolge anzeigen sollte sich beendete.

Ein Stack Overflow (Pufferüberlauf) gehört zu den am häufigsten auftretenden Sicherheitslücken. Sie wird nicht nur von Textbomben ausgenutzt, sondern auch von verschiedensten anderen Angriffsvektoren. Ausgenutzt wird bei einem Stack Overflow, dass ein Fehler im einem Programm dazu führt, dass zu viele Daten in einen zu kleinen Speicherbereich geschrieben werden sollen, was dazu führt, dass die Inhalte des dafür reservierten Speicherbereichs überschrieben werden. Dies verursacht dann den Absturz des Programms oder des gesamten Betriebssystems.

Effective Power – Apple iOS – Jahr 2015

Auch die "Effective Power" Textbombe, die im Mai 2015 auftrat, brachte iPhones und iPads zum Absturz. Der Name Effective Power wurde gewählt, weil die 75 Zeichen lange Unicode-Textsequenz neben arabischen Schriftzeichen auch die Zeichenfolge „effective. Power“ enthielt.

Auch in diesem Fall wurde, wie der der 2013 aufgetreten Unicode of Death Textbombe auch, eine Sicherheitslücke im CoreText-Modul, das für die Verarbeitung und Darstellung von Schriften verantwortlich ist. Verbreitet wurde die Textbombe vor allem über Messaging-Programme.

Im Gegensatz zum Unicode of Death Angriff, der nur zum Absturz des Programms führte, waren die Folgen von Effective Power größer. Einige Anwender konnte das Programm über das die Textbombe empfangen wurde anschließend nicht mehr starten, wenn die Zeichenkette sich noch auf dem Startbildschirm befand, da in diesem Fall CoreText die Nachricht erneut rendern musste und so einen erneuten Absturz verursachte.

Als Lösung des Problems konnte die Nachricht per Sprachsteuerung über Siri gelöscht werden, da dazu die betroffene Nachricht nicht als Text angezeigt werden musste und es so auch nicht zur Ausführung der Textbombe kam. Anschließend konnten die Anwender die Software wieder starten.

Apple hat Ende Mai 2015 angekündigt den Unicode-Fehler zu beheben, nachdem er etwa vier Wochen massenhaft verbreitet wurde. Da auch der Facebook-Messenger zur Verbreitung genutzt wurde, hat das soziale Netzwerk darauf reagiert, in dem Nachrichten mit der Unicode-Sequenz nicht mehr verschickt werden konnte.

Single Unicode Symbol – Apple iOS – Jahr 2018

Die im Februar 2018 ausgenutzte Unicode-Schwachstelle "Single Unicode Symbol" zielte erneut auf Software des Apple-Konzerns ab. Betroffen waren iPhones und iPads bis zur iOS Version 11.2.5 sowie Macs bis OS 10.13 („High Sierra“) aber auch watchOS 4.3 und tvOS 11.3.

Der Name kommt daher, dass es sich bei der Textbombe um den ersten großen Unicode-Bug handelte, der mit nur einem einzigen Schriftzeichen einen Absturz verursachen konnte. Genutzt haben die Verantwortlichen dafür ein Zeichen der indischen Telugu-Schrift. Geräte an die das Schriftzeichen per Kurznachricht geschickt wurden, stürzten daraufhin ab. Verbreitet wurde die Textbombe über WhatsApp, Facebook-Messenger, Twitter und E-Mail.

Bei einigen iPhones hat die Textbombe dazu geführt, dass das Betriebssystem zurückgesetzt werden musste. Wenn das verantwortliche Schriftzeichen als Push-Nachricht auf dem Homescreen angezeigt wurde, hat dies einen Absturz zur Folge. Beim anschließenden Neuladen wurde die Nachricht wieder automatisch angezeigt und die Schleife begann von neuem. Geholfen hat nur eine Neuinstallation des iPhones über den Wiederherstellungsmodus.

Dasselbe Problem trat auch bei Programmen auf, die die Nachricht bei ihrem Start automatisch angezeigt haben. Auch dieses Mal war für die Textbombe das CoreText-Modul verantwortlich.

Nutzer die das Zeichen per Telegram oder Skype erhielten blieben laut einem Bericht von The Verge von Abstürzen verschont.

Black Dot – Apple iOS und Android – Jahr 2018

Die "Black Dot" Textbombe konnte sowohl iPhone und iPads mit iOS 10 und 11 angreifen als auch Android-Smartphones. Aufgetreten ist sie erstmals im Mai 2018.

Die verschickte Nachricht hat bei Black Dot dazu geführt, dass die App über die sie empfangen wurde sich beendete. Der Name deutet daraufhin, dass die Textbombe bestimmte Emojis wie einen schwarzen Punkt und eine Hand enthielt. Außerdem war ein unsichtbarer Text enthalten.

Einen direkten Rückschluss auf die Qualität der Software lässt sich aufgrund des vermehrten Auftretens der Unicode-Bugs bei Apple nicht schließen. Es ist eher dadurch zu begründen, dass iOS aufgrund seiner hohen Verbreitung ein interessantes Ziel für Hacker ist, die auf der Suche nach neuen Textbomben sind.

Mehr zum Thema: Textbombe