IPhone-Nutzer leben seit Jahren gefĂ€hrlich: Was weiß Apple?

IPhone-Nutzer leben seit Jahren gefĂ€hrlich: Was weiß Apple?

Erneut können sich Google-Sicherheitsforscher bei iPhone-Nutzern bedanken. Google-Experten haben erneut kritische LĂŒcken in ihrer freien Karriere entdeckt und sie ihren Nachbarn in Cupertino gemeldet. Im ausfĂŒhrlichen Bericht werden nun offenbar Details dazu aufgefĂŒhrt, wie iPhones seit iOS 10 ungeschĂŒtzt waren.

iPhone mit iOS 10 bis iOS 12: Betroffene Websites nutzen SicherheitslĂŒcken aus

Der stellvertretende Sicherheitsminister Joseph Cox spekuliert, dass die kĂŒrzlich veröffentlichten Google Project Zero-Berichte “der bislang grĂ¶ĂŸte Angriff auf iPhone-Nutzer” sein könnten. Laut Google hatten Hacker Zugriff auf eine kleine Anzahl von Websites, die wiederum von ahnungslosen iPhone-Nutzern ausgelöst wurden.

Die Anzahl der Besuche von Google-Forschern wird auf mehrere tausend Besucher pro Woche geschĂ€tzt. Offensichtlich gab es keine spezifischen Ziele: Das iPhone jedes Besuchers wurde angegriffen. In einigen FĂ€llen verwendeten Hacker sogenannte Zero-Day-Schwachstellen, von denen der Hersteller – in diesem Fall Apple – immer noch nichts weiß und einen Patch nicht angemessen anbieten kann. Diese SicherheitslĂŒcken sind sehr gefragt und haben das Potenzial, Millionen von Dollar wert zu sein.

In diesem speziellen Fall konnte Google 14 Schwachstellen in iOS 10 bis zum aktuellen iOS 12 erkennen. Mindestens eine dieser Schwachstellen war einer dieser Zero-Day-Exploits. SpĂ€ter meldete Apple Google diese SicherheitsanfĂ€lligkeit in iOS 12.1.4 am 7. Februar 2019. Google hatte nur wenige Fehler, bevor Apple sie meldete und dem iPhone-Hersteller 7 Tage Zeit gab, um den Fehler zu schließen.

IPhone XS mit iOS 12 wurde auch fĂŒr einige Fehler erkannt:

IOS-SicherheitslĂŒcken: Durch die Kombination mehrerer SicherheitslĂŒcken können Sie auf iMessage, WhatsApp und mehr zugreifen

Die Angreifer kombinierten mehrere Schwachstellen im Ansatz, um Zugriff auf Benutzerdaten zu erhalten. Insgesamt zĂ€hlten sie fĂŒnf dieser Zeichenfolgen, verschiedene Ziel-iOS-Versionen. Einmal infiziert, können Angreifer auch Daten aus Quellen wie iMessage, WhatsApp, Telegramm, Google Mail oder Fotos lesen. End-to-End-VerschlĂŒsselung hilft nur als Schutz vor fremder Gehrung wĂ€hrend des Transports. Es gibt immer noch verschiedene Möglichkeiten, Nachrichten nach der Zustellung an das GerĂ€t zu lesen.

Die SicherheitslĂŒcken ermöglichten es auch, Live-Benutzer mithilfe von GPS zu verfolgen. Die Angreifer erhielten nur einmal pro Minute Standortdaten. Er hat auch auf Apples SchlĂŒsselbund zugegriffen, in dem beispielsweise Passwörter, Zertifikate oder der Zugriff auf Wi-Fi-Netzwerke gespeichert sind.

Die einzige gute Nachricht ist, dass das von den Angreifern installierte Implantat nach dem Neustart des GerÀts entfernt wurde. Die erkannten Fehler von Apple wurden jetzt ebenfalls behoben. Google hatte auch alle bekannten Apple-Details weitergegeben. Es bleibt jedoch offen, Apple selbst hat gegen die Verletzten vorgegangen.

Der Google-Bericht ist sehr detailliert und beschreibt die genauen technischen Details der verschiedenen SicherheitsanfĂ€lligkeiten. Experten lassen jedoch offene Informationen darĂŒber, auf welche Websites sie sich beziehen. DarĂŒber hinaus ist nicht bekannt, in welchen LĂ€ndern oder Regionen diese Standorte aktiv waren. Diese Frage wurde auch vom Sicherheitsexperten Matthew Green gestellt.

Etwas “Paniermehl„Berichten zufolge handelt es sich möglicherweise um gezielte Angriffe auf Minderheiten in China. Google-Forscher veröffentlichen diese Details möglicherweise aus guten GrĂŒnden noch nicht. Experten vermuten auch, dass es andere solche Websites gibt, die Ă€hnliche Taktiken anwenden. In diesem Fall wurden Google-Forscher nur durch einen Fehler eines Angreifers ĂŒber die SicherheitslĂŒcken informiert.