Deimelbauer News

iPhones wurden jahrelang beim Web-Surfen zur Wanze

30.08.2019

Google deckt auf:

iPhones wurden jahrelang beim Web-Surfen zur Wanze

iPhones sind sicherer als andere Smartphones – oder etwa doch nicht? Das Mantra der Apple-Fans wird durch eine Entdeckung von Google-Sicherheitsforschern nun in Zweifel gezogen. Sie haben nämlich Websites entdeckt, die im großen Stil über Jahre hinweg beim bloßen Aufruf iPhones mit „Überwachungsimplantaten“ verseucht haben. Sie lasen Kontakte, Fotos und womöglich sogar die gespeicherten Passwörter am Gerät aus – beim bloßen Aufruf der Websites.

Googles Project-Zero-Sicherheitsforscher entdeckten die bisher unbekannten Sicherheitslücken, die seit Version 10 bis hin zur Version 12 in Apples iOS-Betriebssystem klafften, bereits im Februar. Google stellte Apple laut einem „TechCrunch“-Bericht wegen der Schwere der Sicherheitslücken eine einwöchige Deadline, um sie zu schließen. Nach sechs Tagen veröffentlichte Apple mit iOS 12.1.4 ein Update, das die Lücken schloss.

Tausende iPhone-User unbemerkt verwanzt
Bis zu diesem Zeitpunkt dürften allerdings bereits Tausende iPhone-Nutzer unbemerkt verwanzt worden sein, berichtet man bei Google. Die Sicherheitsforscher hatten mehrere manipulierte Websites entdeckt, über die Tausende arglose iPhone-Nutzer pro Woche mit Abhörsoftware infiziert wurden. „Der bloße Besuch der Website hat dem Exploit-Server gereicht, um das Gerät zu attackieren und bei Erfolg ein Überwachungsimplantat zu installieren“, weiß Google-Forscher Ian Beer.

Die Infektion, bei der die Hintermänner Administratorrechte auf den Geräten erlangten, erfolgte laut den Google-Forschern über fünf Infektionsmethoden und unter Ausnutzung von gut einem Dutzend Sicherheitslücken – sieben davon im iPhone-Browser Safari. Gelang den Hintermännern der Kampagne die Infektion eines iPhones, wurden Kontakte und Nachrichten abgesaugt und die Position der iPhone-Besitzer protokolliert. Auch auf die gespeicherten Passwörter war offenbar Zugriff möglich.

Kampagne dauerte zumindest zwei Jahre
Die Malware-Kampagne habe zumindest zwei Jahre gedauert, schätzt Google. Wie viele iPhone-User in diesem Zeitraum verwanzt wurden, ist nicht bekannt. Die manipulierten Websites, über die sie infiziert wurden, verzeichneten während der Dauer der Kampagne aber wöchentlich einige Tausend Zugriffe. Laut Google-Forscher Beer ist nicht auszuschließen, dass derzeit noch andere Hacking-Kampagnen gegen iPhone-User laufen.

Apple selbst hat sich zu der Causa nicht zu Wort gemeldet, ist aber an sich bemüht, Sicherheitslücken in seiner Software schnell zu entdecken und zu schließen. Der iPhone-Hersteller hatte erst kürzlich das maximale „Kopfgeld“, das im Zuge des hauseigenen „Bug Bounty“-Programms an Entdecker von Lücken ausgezahlt wird, auf eine Million US-Dollar erhöht. Unter diesen neuen Regeln, die erst später dieses Jahr gelten sollen, hätte Googles Project Zero Anspruch auf mehrere Millionen Dollar von Apple.

Quelle https://www.krone.at/1987161

Die mobile Version verlassen