30.08.2019
Google deckt auf:
iPhones wurden jahrelang beim Web-Surfen zur Wanze
iPhones sind sicherer als andere Smartphones – oder etwa doch nicht? Das Mantra der Apple-Fans wird durch eine Entdeckung von Google-Sicherheitsforschern nun in Zweifel gezogen. Sie haben nämlich Websites entdeckt, die im großen Stil über Jahre hinweg beim bloßen Aufruf iPhones mit „Überwachungsimplantaten“ verseucht haben. Sie lasen Kontakte, Fotos und womöglich sogar die gespeicherten Passwörter am Gerät aus – beim bloßen Aufruf der Websites.
Googles Project-Zero-Sicherheitsforscher entdeckten die bisher unbekannten Sicherheitslücken, die seit Version 10 bis hin zur Version 12 in Apples iOS-Betriebssystem klafften, bereits im Februar. Google stellte Apple laut einem „TechCrunch“-Bericht wegen der Schwere der Sicherheitslücken eine einwöchige Deadline, um sie zu schließen. Nach sechs Tagen veröffentlichte Apple mit iOS 12.1.4 ein Update, das die Lücken schloss.
Tausende iPhone-User unbemerkt verwanzt
Bis
zu diesem Zeitpunkt dürften allerdings bereits Tausende iPhone-Nutzer
unbemerkt verwanzt worden sein, berichtet man bei Google. Die
Sicherheitsforscher hatten mehrere manipulierte Websites entdeckt, über
die Tausende arglose iPhone-Nutzer pro Woche mit Abhörsoftware infiziert
wurden. „Der bloße Besuch der Website hat dem Exploit-Server gereicht,
um das Gerät zu attackieren und bei Erfolg ein Überwachungsimplantat zu
installieren“, weiß Google-Forscher Ian Beer.
Die Infektion, bei der die Hintermänner Administratorrechte auf den Geräten erlangten, erfolgte laut den Google-Forschern über fünf Infektionsmethoden und unter Ausnutzung von gut einem Dutzend Sicherheitslücken – sieben davon im iPhone-Browser Safari. Gelang den Hintermännern der Kampagne die Infektion eines iPhones, wurden Kontakte und Nachrichten abgesaugt und die Position der iPhone-Besitzer protokolliert. Auch auf die gespeicherten Passwörter war offenbar Zugriff möglich.
Kampagne dauerte zumindest zwei Jahre
Die Malware-Kampagne habe zumindest zwei Jahre gedauert, schätzt Google. Wie viele iPhone-User in diesem Zeitraum verwanzt wurden, ist nicht bekannt. Die manipulierten Websites, über die sie infiziert wurden, verzeichneten während der Dauer der Kampagne aber wöchentlich einige Tausend Zugriffe. Laut Google-Forscher Beer ist nicht auszuschließen, dass derzeit noch andere Hacking-Kampagnen gegen iPhone-User laufen.
Apple selbst hat sich zu der Causa nicht zu Wort gemeldet, ist aber an sich bemüht, Sicherheitslücken in seiner Software schnell zu entdecken und zu schließen. Der iPhone-Hersteller hatte erst kürzlich das maximale „Kopfgeld“, das im Zuge des hauseigenen „Bug Bounty“-Programms an Entdecker von Lücken ausgezahlt wird, auf eine Million US-Dollar erhöht. Unter diesen neuen Regeln, die erst später dieses Jahr gelten sollen, hätte Googles Project Zero Anspruch auf mehrere Millionen Dollar von Apple.
Quelle https://www.krone.at/1987161
