© AP / Kiichiro Sato

Digital Life
08/30/2019

Apple-Nutzer jahrelang ausspioniert: Was man dazu wissen muss

Lediglich der Besuch manipulierter Webseiten reichte aus, um all seine Handy-Daten zu gefährden. Fragen und Antworten zu der Apple-Sicherheitslücke.

von Thomas Prenner, Franziska Bechtold

Auf Smartphones ist heute fast unser ganzes Leben. Das macht sie auch für Cyberkriminelle attraktiv, weswegen zahlreiche Würmer und Viren für die Geräte kuriseren. Als Einfallstor dienen in der Regel Apps aus dubiosen Quellen. Doch man kann sich auch viel leichter infizieren, wie einen nun aufgedeckte Sicherheitslücke demonstriert.

Was ist passiert?
Sicherheitsforscher von Google  haben mehrere Lücken im Apple-Betriebssystem iOS für iPads und iPhones gefunden. Sie erlaubten es, die Kontrolle über Handys und Tablets zu übernehmen und die Anwender auszuspionieren. Die Lücken dürften über Jahre hinweg ausgenutzt worden sein. Opfer waren Anwender von Geräten mit den iOS-Versionen 10 bis 12.

Wie wurden Geräte infiziert?
Der Besuch manipulierter Webseiten reichte aus. Entsprechende Links könnten über verschiedenste Wege, wie etwa E-Mails, Facebook oder WhatsApp-Nachrichten verbreitet worden sein. Die schädlichen Webseiten kursierten laut Google 30 Monate lang im Netz.

Worauf hatten die Angreifer Zugriff? 
Wer sich den schädlichen Code eingefangen hat, war für die Urheber ein offenes Buch. Fotos, Nachrichten und sogar der Echtzeit-Standort konnte so ausspioniert werden.  „Diese Sicherheitslücke war enorm. Man hatte Zugriff auf die unverschlüsselten Daten von Messengern wie WhatsApp und Telegram und auf  alle gespeicherten Passwörter“, erklärt Sicherheitsexperte Alexander Riepl vom Computer Emergency Response Team (CERT)  der futurezone.

Welche Webseiten waren betroffen?  
Welche Webseiten genau betroffen waren, ist nicht bekannt. Es dürfte sich um mehrere  Seiten zu  unterschiedlichen Themengebieten gehandelt haben. „Das Klischee von Schmuddelseiten, bei denen man sich Malware einfängt, stimmt einfach nicht mehr. Betroffen können alle Seiten von kleinen, schlecht gewarteten Tante-Emma-Webseiten bis zu großen Nachrichtportalen sein", sagt Riepl.

Besteht die Gefahr immer noch?  
Wie es bei derartigen Entdeckungen üblich ist, wurde Apple von den Google-Forschern informiert und hat kurz darauf ein Update ausgeliefert. Das war bereits am 7. Februar mit der iOS-Version 12.1.4. Experten gehen aber davon aus, dass immer noch ähnliche, bislang unentdeckte, Angriffsszenarien existieren.

Sind auch von Handys oder Tablets anderer Hersteller betroffen?
Die aktuell aufgedeckte  Lücke betrifft ausschließlich Apple-Geräte.  Dass vergleichbare Schwachstellen auch in anderen Systemen - etwa Android - existieren, kann nicht ausgeschlossen werden, konkrete Hinweise darauf gibt es aktuell aber nicht.

Wer steht hinter dem Angriff?
Laut Google wurde die Lücke „in der Wildnis“ gefunden. Das bedeutet, dass sie bereits von Cyberkriminellen aktiv ausgenutzt wurde. Die Hintergründe können vielfältiger Natur sein. Zumeist ist das Motiv das Abgreifen von Konto- oder anderen Daten.

Wie viele Nutzer waren betroffen? Sind auch welche aus Österreich darunter?
Aufgrund der Tatsache, dass die schädlichen Webseiten lange online waren und es  weltweit alleine 900 Millionen aktive iPhone-Nutzer gibt, ist von einer großen Zahl an Opfern auszugehen. Darüber, ob auch Nutzer aus Österreich darunter waren, gibt es keine konkreten Hinweise.

Wie kann man sich schützen?
Ratsam ist es in jedem Fall, sein Betriebssystem immer auf dem aktuellen Stand zu halten, wie Riepl erklärt, relativiert aber gleichzeitig:  „Gegen so ein groß angelegten Angriff kann man sich eigentlich nicht schützen“. Er rät im Alltag mit vernetzten Geräten zu einer gesunden Portion Skepsis:  „Da ist der gesunde Menschenverstand gefragt. Man sollte nicht auf Werbebanner klicken, die unmögliche Angebote versprechen und seine Daten nicht einfach auf dubiosen Seiten eingeben.“

Experte: "Android-Nutzer nicht vor Angriffen gefeit"

„Welche Daten habe ich eigentlich auf meinem Smartphone? Diese Frage sollte sich jeder Handy-Nutzer stellen“, rät Sicherheitsexperte Edgar Weippl vom Institut für IT-Sicherheitsforschung der TU Wien, im Gespräch mit der futurezone.

Auch Android-Nutzer seien vor Angriffen nicht gefeit. „Viele Hersteller bieten Android-Smartphones an, die jeweils individuelle Anpassungen mitbringen. Als Verbraucher ist man daran gebunden, wie schnell Hersteller auf Angriffe reagieren. Man soll sich aber im Klaren sein, dass solche Sicherheitslücken immer wieder auftreten können“, erklärt der IT-Experte.

iOS habe dahingehend einen Vorteil, dass Apple sowohl die Geräte herstellt, als auch das Betriebssystem betreibt. So könne auf Attacken schnell und umfangreich reagiert werden. Im Falle einer Sicherheitslücke sind allerdings immer alle Geräte betroffen, das sei bei Android nicht der Fall. Dessen offenes System werde von vielen Menschen im Internet permanent kontrolliert und Fehler können unter Umständen schneller gefunden werden. Weippl sieht bei beiden Smartphone-Betriebssystemen Stärken und Schwächen. Absolute Sicherheit gebe es weder bei iOS noch Android.

Daten sichern

Für beide Systeme gilt: „Vertrauliche Daten sollten immer mit besonderen Sicherheitsvorkehrungen bedacht werden“, sagt der Experte. Wichtige Dokumente, Passwörter und Bankinformationen sollten nicht online, etwa in einem Cloud-Speicher wie Google Drive, Dropbox oder Apple Cloud abgelegt werden. Persönliche Daten sollte man trotzdem regelmäßig sichern, rät Weippl. Fotos oder Nachrichtenverläufe können auf dem Computer oder einem externem Datenträger gespeichert werden, um sie im Falle eines Angriffs nicht zu verlieren .