Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Natalie Silvanovich und ihre Kollegen bei Googles Project Zero haben mehrere Lücken in iOS aufgespürt. Bild: twitter / natashenka

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Googles Sicherheitsteam hat ein halbes Dutzend Fehler im iPhone-Betriebssystem offengelegt. Mehrere davon sind kritisch. Malware-Hersteller und Geheimdienste zahlen Millionen für solche Lücken.



Googles Sicherheitsforscher haben insgesamt sechs neue Schwachstellen in iOS entdeckt. Die Lücken wurden Apple von einer Sicherheitsforscherin und einem Sicherheitsforscher von Googles Project Zero gemeldet. Apple hat letzte Woche fünf dieser Schwachstellen mit dem Update auf iOS 12.4 geschlossen, eine Lücke bleibt aber vorerst bestehen.

Inzwischen sind einige Details zu den teils schwerwiegenden Fehlern bekannt: Mehrere der Sicherheitsprobleme betreffen Apples Chat-App iMessage und sind laut Google «interaktionslos». Das heisst: «Angreifer können sie mittels Versand einer iMessage ausnutzen, ohne dass ein Nutzer mehr tun müsste, als diese anzeigen zu lassen», erklärt das Techportal Heise.

Aufgrund der Programmierfehler in iMessage könnten Angreifer Daten vom iPhone oder iPad auslesen oder bösartigen Code ausführen, der ihnen die Kontrolle über das Gerät gibt. Dazu reicht es aus, dass der Nutzer sich eine entsprechende Nachricht ansieht.

Die Fehler in iOS sind unterschiedlich kritisch, doch in einem Fall ist die Schwachstelle laut der Sicherheitsforscherin so schwerwiegend, dass der einzige Weg, ein gehacktes iPhone zu retten, darin bestehe, alle Daten davon zu löschen.

Falls nicht schon getan, solltest du jetzt updaten

Da die renommierten Bug-Jäger von Googles Project Zero nun fünf der sechs Lücken veröffentlicht haben, wird iPhone-Nutzern dringend empfohlen, das aktuelle Sicherheitsupdate (iOS 12.4) so schnell wie möglich zu installieren. Der sechste Fehler, der ebenfalls mit einer manipulierten Textnachricht ausgenutzt werden kann, wird von den Google-Sicherheitsforschern noch privat behandelt. Er soll erst veröffentlicht werden, wenn auch diese Lücke mit einem weiteren iOS-Update geschlossen wird.

Malware-Hersteller und Geheimdienste zahlen Millionen für solche Lücken

Das Techportal ZDNet, das zuerst über die gravierenden Lücken berichtet hat, macht darauf aufmerksam, dass die von Google an Apple gemeldeten Lücken auf dem Schwarzmarkt wohl über fünf Millionen Franken wert gewesen wären. «Die entdeckten Bugs gelten in der Malware- und Geheimdienst-Szene als besonders wertvoll, weil sie so einfach und geräuschlos auszunutzen sind», schreibt Heise.

Fakt ist: Staatliche Akteure, Hersteller von Hacking-Tools und Kriminelle bezahlen inzwischen Hunderttausende von Franken für unbekannte Sicherheitslücken in populären Betriebssystemen wie iOS, Android und Windows. Ob Apple die Sicherheitsforscher für das Melden der Fehler finanziell belohnt hat, wie es in der Branche üblich ist, ist nicht bekannt.

Das Glück für uns Nutzer: Die Google-Mitarbeiter dürften sehr gut bezahlt sein und insofern wenig Drang verspüren, gefundene Lücken auf dem Schwarzmarkt zu verkaufen. Andere IT-Cracks haben diesbezüglich weniger Skrupel. Was wir in solchen Fällen also nie genau wissen: Waren die nun entdeckten Lücken anderen Akteuren längst bekannt?

Sicherheitsforscherin will Details an Hacker-Konferenz verraten

Details zu den Sicherheitslücken will Googles Sicherheitsforscherin Natalie Silvanovich nächste Woche auf der Black-Hat-Hackerkonferenz in Las Vegas mitteilen. Laut der Kurzzusammenfassung ihres Referats wird sie dabei über potenzielle Schwachstellen in iOS-Diensten und -Apps wie SMS, MMS, Visual Voicemail, iMessage und Mail sprechen.

Silvanovich ist Mitglied des Project-Zero-Teams und hat schon mehrfach Sicherheitsprobleme in Apple-Software aufgespürt. Ende 2018 meldete sie einen Fehler in Apples Videotelefonie-App Facetime, der es Kriminellen ermöglicht hätte, allein durch einen Videoanruf das iPhone, iPad oder den Mac der Opfer abstürzen zu lassen.

Das Project-Zero-Team wurde 2014 gegründet. Es hat in den letzten Jahren zahlreiche Lücken in der Software von Microsoft, Samsung, Facebook, Apple und anderen Firmen gefunden. Umgekehrt unterhalten auch die anderen Techkonzerne Sicherheitsteams, die wiederholt Lücken bei Google gefunden haben.

Schwachstelle erinnert an Facetime-Bug

Anfang 2019 hatte sich wie ein Lauffeuer verbreitet, dass ein Programmierfehler in Facetime Anrufern ermöglicht, schon vor dem Abheben beim Angerufenen mitzuhören und diesen (unter Umständen) über die Frontkamera zu beobachten. Apple hat darauf die Funktion, die für Telefonkonferenzen gedacht ist, zwischenzeitlich komplett offline genommen.

Erst diesen Monat wurde bekannt, dass Nutzer der Computeruhr Apple Watch offenbar unerwünscht mittels iPhone belauscht werden konnten. Der iPhone-Konzern hielt das Problem laut Heise für «derart akut, dass er die komplette Walkie-Talkie-Funktion der Apple Watch, die sich ausnutzen liess, serverseitig deaktiviert hatte». Auch dieses Problem wurde mit einem Update behoben.

Die 10 wertvollsten Unternehmen der Welt

So würde es aussehen, wenn wir am Telefon ehrlich wären

Play Icon

Das könnte dich auch interessieren:

AfD-Politikerin Alice Weidel ist heimlich wieder in die Schweiz gezogen

Link zum Artikel

Mein Horror-Erlebnis im Militär – und was ich daraus lernte

Link zum Artikel

2 mal 3 macht 4! – Das wurde aus den Darstellern von «Pippi Langstrumpf»

Link zum Artikel

Greta Thunberg wollte Panik säen, erntet nun aber Wut

Link zum Artikel

Pasta mit Tomatensauce? OK, wir müssen kurz reden.

Link zum Artikel

«Es war die Hölle» – dieser Schweizer war am ersten Woodstock dabei

Link zum Artikel

Oppos Reno 5G ist ein spektakuläres Smartphone – das seiner Zeit voraus ist

Link zum Artikel

MEI, Minarett und Güsel: Das musst du zum Polit-Röstigraben wissen

Link zum Artikel

Ich hab die 3 neuen Huawei-Handys 2 Monate im Alltag getestet – es gab einen klaren Sieger

Link zum Artikel

Keine Hoffnung auf Überlebende nach Unwetter im Wallis ++ Gesperrte Pässe in Graubünden

Link zum Artikel

Immer wieder Djokovic – oder Federers Kampf gegen die Dämonen der Vergangenheit

Link zum Artikel

QDH: Huber ist in den Ferien. Wir haben ihn vorher noch ein bisschen gequält

Link zum Artikel

YB-Fan lehnt sich im Extrazug aus dem Fenster – und wird von Schild getroffen

Link zum Artikel

10 Tweets, die zeigen, dass in Grönland gerade etwas komplett schief läuft

Link zum Artikel

Wahlvorschau: Die Zentralschweiz ist diesmal nicht nur für Rot-Grün ein hartes Pflaster

Link zum Artikel

Sogar Taschenrechner verwirrt: Dieses Mathe-Rätsel macht gerade alle verrückt

Link zum Artikel

Die bizarre Geschichte der Skinwalker-Ranch, Teil 4: Die Zweifel des Insiders

Link zum Artikel

Uli, der Unsportliche – warum GC-Trainer Forte in Aarau unten durch ist

Link zum Artikel

Die Bloggerin, die 22 Holocaust-Opfer erfand, ist tot, ihre Fantasie war grenzenlos

Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Link zum Artikel

Der neue Tarantino? Ist Mist. Aber vielleicht seht ihr das ganz anders

Link zum Artikel

Wohin ist denn eigentlich die Hitzewelle verschwunden? Nun, die Antwort ist beunruhigend

Link zum Artikel

Gewalt und Krankheiten – die Bewohner der ersten Steinzeit-Stadt lebten gefährlich

Link zum Artikel

Ab heute lebt die Welt auf Ökopump – und diese Länder sind die grössten Umweltsünder

Link zum Artikel

ARD-Moderatorin lästert über «Fortnite»-Spieler und erntet Shitstorm – nun wehrt sie sich

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

36
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
36Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • _kokolorix 31.07.2019 18:52
    Highlight Highlight Das Design der iMessage App scheint grundsätzlich unsicher zu sein. Wenn der Nachrichteninhalt interpretiert und dadurch Aktionen im Betriebssystem ausgelöst werden ist das ein Sack Flöhe der nie und nimmer sicher sein kann. Wenn es ein Pufferüberlauf ist, ist es höchst peinlich und zeugt nicht gerade von guter Codequalität
    • Loeffel 01.08.2019 18:52
      Highlight Highlight Mit dem Sack Flöhe hast du Recht. Aber Pufferüberlauff? Das klingt eher nach 2002 ... heutige Programmiersprachen kennen doch dieses Problem gar nicht mehr, oder?
    • _kokolorix 01.08.2019 20:17
      Highlight Highlight Hast du eine Ahnung! Heutige Programmiersprachen wie Java, Swift oder C# bieten zwar einen einigermassen sicheren Umgang mit Zeichenketten, aber deren Laufzeitumgebung ist meist in C implementiert und deren Fehler pflanzen sich ins übergeordnete System fort. Ausserdem reicht es häufig, die TCP oder UDP Datenlängen zu manipulieren um die in C geschriebenen Netzwerkstacks in die Irre zu führen. Schwieriger ohne Insiderkentnisse ist es, daraus mehr als einen Programmabsturz zu machen. Aber so einen Bug zu verkaufen ist richtig lukrativ, wenn du die richtigen Leute kennst...
  • Scaros_2 31.07.2019 16:33
    Highlight Highlight Falls nicht schon getan, solltest du jetzt updaten

    Ich habe mich in stochastik damals immer gefragt, wie gross die Wahrscheinlichkeit ist das ich trotz "nicht updaten" schlussendlich davon betroffen bin?

    Z.b. bei dieser iMessage sache. Wenn ich diesen Dienst nicht nutze. Ist es dann notwendig?
  • 1$ opinion 31.07.2019 16:18
    Highlight Highlight Als ob jetzt Google, Apple & Co sich nicht auch auf dem Schwarzmarkt umsehen und einfach alles aufkaufen, was da an Sicherheitslücken feilsch geboten wird. 🤫
    • Sarkasmusdetektor 02.08.2019 08:45
      Highlight Highlight Das würden sie vielleicht sogar machen, wenn sie es denn mitbekommen würden. Abgesehen vielleicht von den dümmsten Kriminellen werden solche Lücken ja nicht einfach öffentlich ausgeschrieben, sondern direkt an die potenziellen Interessenten gemeldet.
  • Rhabarber 31.07.2019 14:54
    Highlight Highlight Das Spannendste an diesem Artikel ist diese Auflistung:
    "Staatliche Akteure, Hersteller von Hacking-Tools und Kriminelle."
    Also staatliche Akteure und Kriminelle in einem Satz beim gleichen Interesse.
  • My Senf 31.07.2019 14:50
    Highlight Highlight Und bei den Mac 💻 gibt es einen öffentlichen Rückruf!
    Wenn wir schon bei der Apple Bad news Abteilung sind
    Benutzer Bild
    • Flügu 31.07.2019 16:13
      Highlight Highlight Warum aber "bad news"? Die Betroffenen erhalten für ein 3-4 Jahre altes Gerät kostenlos einen neuen Akku :)
      Und im übrigen ist das keine "news" mehr, da der Rückruf bereits am 20.6.2019 kommuniziert wurde.
    • My Senf 31.07.2019 18:19
      Highlight Highlight War eine Anspielung auf ostpol76
  • Gipfeligeist 31.07.2019 14:38
    Highlight Highlight Ist "Project Zero" eine Abteilung für Datensicherheit oder für PR? 🤔

    Auf jeden Fall machen sie einen guten Job!
  • ostpol76 31.07.2019 14:01
    Highlight Highlight Dieser Beitrag wurde gelöscht. Bitte formuliere deine Kritik sachlich und beachte die Kommentarregeln.
    • Oliver Wietlisbach 31.07.2019 14:14
      Highlight Highlight Der Kommentar, auf den du Bezug nimmst, wurde bereits entfernt.
    • Ueli der Knecht 31.07.2019 14:39
      Highlight Highlight Der Kommentar, auf den du Bezug nimmst, wurde bereits entfernt.
  • Ueli der Knecht 31.07.2019 13:57
    Highlight Highlight "Die Google-Mitarbeiter dürften sehr gut bezahlt sein und insofern wenig Drang verspüren, gefundene Lücken auf dem Schwarzmarkt zu verkaufen. Andere IT-Cracks haben diesbezüglich weniger Skrupel. Was wir in solchen Fällen also nie genau wissen: Waren die nun entdeckten Lücken anderen Akteuren längst bekannt?"

    Die grösste Verlockung besteht für diejenigen, welche die Software programmieren. Die Programmierer sind das grössten Risiko.

    Geheimdienste haben keine grossen Schwierigkeiten, solche Insider zu finden und einzuspannen, bzw. zu kaufen, zu erpressen oder sonstwie zu "motivieren".
    • Supermonkey 31.07.2019 14:51
      Highlight Highlight Zum Glück sind das ja nicht einzelne Programmierer welche Betriebssysteme schreiben. Und irgendwer muss ja auch den Code überprüfen und testen. Von demher ist Deine Laienhafte Aussage völliger Nonsens.
    • Ueli der Knecht 31.07.2019 15:29
      Highlight Highlight Offensichtlich hast du es noch nicht so miterlebt, wie heutzutage in grossen Betrieben (wie zB. bei Boeing oder VW) Code reviewed, getested und sogar zertifiziert wird, Supermonkey.

      "Von demher ist Deine Laienhafte Aussage völliger Nonsens."
    • Supermonkey 31.07.2019 16:43
      Highlight Highlight @Ueli der Knecht Ich erlebe solche Sachen täglich und lese und missinterpretiere es nicht nur aus Zeitungsberichten...
    Weitere Antworten anzeigen
  • Thomas Oetjen 31.07.2019 12:39
    Highlight Highlight Also, wenn ihr iMessages liest, macht einfach die Augen zu.

    Im Artikel steht, das Betrachten der Nachricht reicht aus.
  • infomann 31.07.2019 12:23
    Highlight Highlight Das gibt es bei Apple doch nicht...
    Lach und auch ein bisschen Schadenfreude ist schon dabei.
    • RASL 31.07.2019 12:47
      Highlight Highlight Wieso? Verstehe ich nicht.
    • DocShi 31.07.2019 13:22
      Highlight Highlight Rasl, weil Apple und deren Jünger immer in der Vergangenheit betonten wie sicher doch Apple Produkte doch seien etc.
      Dabei sind die Zeiten seit IPhone 2 schon lange vorbei. Vorher stimmte es da Macs nicht so lohnenswert waren für Hacker weil nicht so verbreitet.
    • Jaklar 31.07.2019 13:39
      Highlight Highlight Im vergleich mit anderen systemen fährt man mit apple aber immer noch viel viel sicher. Solche lücken gibts bei apple ab und zu. Bei andern ist das tägliches brot.
    Weitere Antworten anzeigen

Warum Apple seit Jahren ein universelles Handy-Ladekabel verhindert

Seit mehr als zehn Jahren drängt die EU auf einheitliche Ladekabel für Smartphones. Ohne Erfolg. Dokumente belegen jetzt: Das liegt vor allem an einer Firma.

Micro-USB, USB-C und Lightning – die unterschiedlichen Anschlüsse bei Smartphones sind nicht nur für die Verbraucher ein Ärgernis. Nach Einschätzungen der EU-Kommission geht das Ladekabel-Chaos auch auf Kosten der Umwelt. Etwa 51'000 Tonnen Elektroschrott landen Jahr für Jahr im Müll, weil sich die Hersteller nicht auf einen gemeinsamen Standard einigen konnten.

Dabei schienen sie schon vor gut zehn Jahren auf einem guten Weg: Auf Druck der EU-Kommission hin versprachen die grössten …

Artikel lesen
Link zum Artikel