Googles Sicher­heit­steam hat ein halbes Dutzend Fehler im iPhone-Betrieb­ssys­tem offen­gelegt. Mehrere davon sind kri­tisch. Mal­ware-Her­steller und Geheim­di­en­ste zahlen Mil­lio­nen für solche Lück­en.

Googles Sicher­heits­forsch­er haben ins­ge­samt sechs neue Schwach­stellen in iOS ent­deckt. Die Lück­en wur­den Apple von ein­er Sicher­heits­forscherin und einem Sicher­heits­forsch­er von Googles Project Zero gemeldet. Apple hat let­zte Woche fünf dieser Schwach­stellen mit dem Update auf iOS 12.4 geschlossen, eine Lücke bleibt aber vor­erst beste­hen.

Inzwis­chen sind einige Details zu den teils schw­er­wiegen­den Fehlern bekan­nt: Mehrere der Sicher­heit­sprob­leme betr­e­f­fen Apples Chat-App iMes­sage und sind laut Google «inter­ak­tion­s­los». Das heisst: «Angreifer kön­nen sie mit­tels Ver­sand ein­er iMes­sage aus­nutzen, ohne dass ein Nutzer mehr tun müsste, als diese anzeigen zu lassen», erk­lärt das Tech­por­tal Heise.

Auf­grund der Pro­gram­mier­fehler in iMes­sage kön­nten Angreifer Dat­en vom iPhone oder iPad ausle­sen oder bösar­ti­gen Code aus­führen, der ihnen die Kon­trolle über das Gerät gibt. Dazu reicht es aus, dass der Nutzer sich eine entsprechende Nachricht ansieht.

Die Fehler in iOS sind unter­schiedlich kri­tisch, doch in einem Fall ist die Schwach­stelle laut der Sicher­heits­forscherin so schw­er­wiegend, dass der einzige Weg, ein gehack­tes iPhone zu ret­ten, darin beste­he, alle Dat­en davon zu löschen.

Falls nicht schon getan, solltest du jetzt updaten

Da die renom­mierten Bug-Jäger von Googles Project Zero nun fünf der sechs Lück­en veröf­fentlicht haben, wird iPhone-Nutzern drin­gend emp­fohlen, das aktuelle Sicher­heit­sup­date (iOS 12.4) so schnell wie möglich zu instal­lieren. Der sech­ste Fehler, der eben­falls mit ein­er manip­ulierten Textnachricht aus­genutzt wer­den kann, wird von den Google-Sicher­heits­forsch­ern noch pri­vat behan­delt. Er soll erst veröf­fentlicht wer­den, wenn auch diese Lücke mit einem weit­eren iOS-Update geschlossen wird.

Malware-Hersteller und Geheimdienste zahlen Millionen für solche Lücken

Das Tech­por­tal ZDNet, das zuerst über die gravieren­den Lück­en berichtet hat, macht darauf aufmerk­sam, dass die von Google an Apple gemelde­ten Lück­en auf dem Schwarz­markt wohl über fünf Mil­lio­nen Franken wert gewe­sen wären. «Die ent­deck­ten Bugs gel­ten in der Mal­ware- und Geheim­di­enst-Szene als beson­ders wertvoll, weil sie so ein­fach und geräusch­los auszunutzen sind», schreibt Heise.

Fakt ist: Staatliche Akteure, Her­steller von Hack­ing-Tools und Krim­inelle bezahlen inzwis­chen Hun­dert­tausende von Franken für unbekan­nte Sicher­heit­slück­en in pop­ulären Betrieb­ssys­te­men wie iOS, Android und Win­dows. Ob Apple die Sicher­heits­forsch­er für das Melden der Fehler finanziell belohnt hat, wie es in der Branche üblich ist, ist nicht bekan­nt.

Das Glück für uns Nutzer: Die Google-Mitar­beit­er dürften sehr gut bezahlt sein und insofern wenig Drang ver­spüren, gefun­dene Lück­en auf dem Schwarz­markt zu verkaufen. Andere IT-Cracks haben dies­bezüglich weniger Skru­pel. Was wir in solchen Fällen also nie genau wis­sen: Waren die nun ent­deck­ten Lück­en anderen Akteuren längst bekan­nt?

Sicherheitsforscherin will Details an Hacker-Konferenz verraten

Details zu den Sicher­heit­slück­en will Googles Sicher­heits­forscherin Natal­ie Sil­vanovich näch­ste Woche auf der Black-Hat-Hack­erkon­ferenz in Las Vegas mit­teilen. Laut der Kurz­zusam­men­fas­sung ihres Refer­ats wird sie dabei über poten­zielle Schwach­stellen in iOS-Dien­sten und -Apps wie SMS, MMS, Visu­al Voice­mail, iMes­sage und Mail sprechen.

Sil­vanovich ist Mit­glied des Project-Zero-Teams und hat schon mehrfach Sicher­heit­sprob­leme in Apple-Soft­ware aufge­spürt. Ende 2018 meldete sie einen Fehler in Apples Videotele­fonie-App Face­time, der es Krim­inellen ermöglicht hätte, allein durch einen Videoan­ruf das iPhone, iPad oder den Mac der Opfer abstürzen zu lassen.

Das Project-Zero-Team wurde 2014 gegrün­det. Es hat in den let­zten Jahren zahlre­iche Lück­en in der Soft­ware von Microsoft, Sam­sung, Face­book, Apple und anderen Fir­men gefun­den. Umgekehrt unter­hal­ten auch die anderen Techkonz­erne Sicher­heit­steams, die wieder­holt Lück­en bei Google gefun­den haben.

Schwachstelle erinnert an Facetime-Bug

Anfang 2019 hat­te sich wie ein Lauf­feuer ver­bre­it­et, dass ein Pro­gram­mier­fehler in Face­time Anrufern ermöglicht, schon vor dem Abheben beim Angerufe­nen mitzuhören und diesen (unter Umstän­den) über die Fron­tkam­era zu beobacht­en. Apple hat darauf die Funk­tion, die für Tele­fonkon­feren­zen gedacht ist, zwis­chen­zeitlich kom­plett offline genom­men.

Erst diesen Monat wurde bekan­nt, dass Nutzer der Com­puteruhr Apple Watch offen­bar uner­wün­scht mit­tels iPhone belauscht wer­den kon­nten. Der iPhone-Konz­ern hielt das Prob­lem laut Heise für «der­art akut, dass er die kom­plette Walkie-Talkie-Funk­tion der Apple Watch, die sich aus­nutzen liess, ser­ver­seit­ig deak­tiviert hat­te». Auch dieses Prob­lem wurde mit einem Update behoben.

Quelle: www.watson.ch

Kostenlos - eBook digitale Kompetenz

digitalexpert-logo-newExklusiv bei digitalexpert.ch

Jetzt kostenlos bestellen:
Exklusiv bei digitalexpert.ch - eBook digitale Kompetenz

Ihre E-Mail-Adresse (Pflichtfeld)

Ich wünsche jeweils über neue kostenlose eBooks informiert zu werden

digitalexpert-logo-newExklusiv bei digitalexpert.ch

Jetzt kostenlos bestellen:
Exklusiv bei digitalexpert.ch — eBook digital comptence (english)

 

Ihre E-Mail-Adresse (Pflichtfeld)

Ich wünsche jeweils über neue kostenlose eBooks informiert zu werden