© REUTERS / REGIS DUVIGNAU

Digital Life
08/30/2019

Manipulierte Webseiten infizierten jahrelang iPhones und iPads

Google-Sicherheitsforscher haben Lücken in Apples iOS entdeckt. Dadurch konnten Fotos und Standorte ausspioniert werden.

von Thomas Prenner

Sicherheitsforscher von Googles Project Zero haben einen massiven Angriff auf Apple-Nutzer aufgedeckt. Dabei wurden Webseiten so manipuliert, dass ein simpler Besuch mit einem iOS-Gerät ausreicht, um sich schädliche Software einzufangen. 

Die entsprechenden Webseiten seien in der Woche “tausendfach” besucht worden. Aktiv waren sie demnach mindestens zwei Jahre. Dabei könnte es sich um eine der bisher größten und umfangreichsten Attacken auf iOS-User handeln.

Laut Google-Sicherheitsforscher Ian Beer wurden die Schwachstellen dazu genutzt, Fotos und Nachrichten abzugreifen sowie Standorte von Anwendern in Echtzeit zu tracken.

Zwölf Angriffswege

Insgesamt fanden die Forscher fünf mögliche Angriffswege, die zwölf Sicherheitslücken ausnutzen. In mehreren technischen Blogposts ist die Funktionsweise detailliert beschrieben. Google hat die Lücken “in the wild” entdeckt. Das bedeutet, dass sie bereits von Cyberkriminellen ausgenutzt wurden. 

Einfallstor war jeweils der Standard-Browser Safari, wie es heißt. Über jenen können Angreifer nicht nur persönliche Daten auslesen, sondern auch Root-Zugriff erlangen. Dadurch kann bösartige Software ohne Wissen oder Zustimmung der Anwender auf die Geräte gebracht werden. 

Betroffene iOS-Versionen

Betroffen waren die iOS-Version 10 bis 12. Google hat Apple laut eigenen Angaben im Februar über die Schwachstellen informiert. Bereits eine Woche später wurde ein entsprechendes Update veröffentlicht. Es handelte sich dabei um die Aktualisierung auf iOS 12.1.4. Nutzer, die diese Version oder eine neuere auf ihren iPhones und iPads verwenden, sind also auf der sicheren Seite. Laut Beer kann aber nicht ausgeschlossen werden, dass nicht noch andere ähnliche Kampagnen laufen. 

Apple selbst wollte auf Anfrage der BBC kein Kommentar zu der Entdeckungen abgeben. Zuletzt hat das Unternehmen angekündigt, die maximale “Bug Bounty” - also die Belohnung für gemeldete Sicherheitslücken - im Laufe dieses Jahres auf eine Million Dollar pro Lücke zu erhöhen. Die Google-Forscher hätten mit dieser Regelung Anspruch auf mehrere Millionen Dollar.