Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Natalie Silvanovich und ihre Kollegen bei Googles Project Zero haben mehrere Lücken in iOS aufgespürt. Bild: twitter / natashenka

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Googles Sicherheitsteam hat ein halbes Dutzend Fehler im iPhone-Betriebssystem offengelegt. Mehrere davon sind kritisch. Malware-Hersteller und Geheimdienste zahlen Millionen für solche Lücken.



Googles Sicherheitsforscher haben insgesamt sechs neue Schwachstellen in iOS entdeckt. Die Lücken wurden Apple von einer Sicherheitsforscherin und einem Sicherheitsforscher von Googles Project Zero gemeldet. Apple hat letzte Woche fünf dieser Schwachstellen mit dem Update auf iOS 12.4 geschlossen, eine Lücke bleibt aber vorerst bestehen.

Inzwischen sind einige Details zu den teils schwerwiegenden Fehlern bekannt: Mehrere der Sicherheitsprobleme betreffen Apples Chat-App iMessage und sind laut Google «interaktionslos». Das heisst: «Angreifer können sie mittels Versand einer iMessage ausnutzen, ohne dass ein Nutzer mehr tun müsste, als diese anzeigen zu lassen», erklärt das Techportal Heise.

Aufgrund der Programmierfehler in iMessage könnten Angreifer Daten vom iPhone oder iPad auslesen oder bösartigen Code ausführen, der ihnen die Kontrolle über das Gerät gibt. Dazu reicht es aus, dass der Nutzer sich eine entsprechende Nachricht ansieht.

Die Fehler in iOS sind unterschiedlich kritisch, doch in einem Fall ist die Schwachstelle laut der Sicherheitsforscherin so schwerwiegend, dass der einzige Weg, ein gehacktes iPhone zu retten, darin bestehe, alle Daten davon zu löschen.

Falls nicht schon getan, solltest du jetzt updaten

Da die renommierten Bug-Jäger von Googles Project Zero nun fünf der sechs Lücken veröffentlicht haben, wird iPhone-Nutzern dringend empfohlen, das aktuelle Sicherheitsupdate (iOS 12.4) so schnell wie möglich zu installieren. Der sechste Fehler, der ebenfalls mit einer manipulierten Textnachricht ausgenutzt werden kann, wird von den Google-Sicherheitsforschern noch privat behandelt. Er soll erst veröffentlicht werden, wenn auch diese Lücke mit einem weiteren iOS-Update geschlossen wird.

Malware-Hersteller und Geheimdienste zahlen Millionen für solche Lücken

Das Techportal ZDNet, das zuerst über die gravierenden Lücken berichtet hat, macht darauf aufmerksam, dass die von Google an Apple gemeldeten Lücken auf dem Schwarzmarkt wohl über fünf Millionen Franken wert gewesen wären. «Die entdeckten Bugs gelten in der Malware- und Geheimdienst-Szene als besonders wertvoll, weil sie so einfach und geräuschlos auszunutzen sind», schreibt Heise.

Fakt ist: Staatliche Akteure, Hersteller von Hacking-Tools und Kriminelle bezahlen inzwischen Hunderttausende von Franken für unbekannte Sicherheitslücken in populären Betriebssystemen wie iOS, Android und Windows. Ob Apple die Sicherheitsforscher für das Melden der Fehler finanziell belohnt hat, wie es in der Branche üblich ist, ist nicht bekannt.

Das Glück für uns Nutzer: Die Google-Mitarbeiter dürften sehr gut bezahlt sein und insofern wenig Drang verspüren, gefundene Lücken auf dem Schwarzmarkt zu verkaufen. Andere IT-Cracks haben diesbezüglich weniger Skrupel. Was wir in solchen Fällen also nie genau wissen: Waren die nun entdeckten Lücken anderen Akteuren längst bekannt?

Sicherheitsforscherin will Details an Hacker-Konferenz verraten

Details zu den Sicherheitslücken will Googles Sicherheitsforscherin Natalie Silvanovich nächste Woche auf der Black-Hat-Hackerkonferenz in Las Vegas mitteilen. Laut der Kurzzusammenfassung ihres Referats wird sie dabei über potenzielle Schwachstellen in iOS-Diensten und -Apps wie SMS, MMS, Visual Voicemail, iMessage und Mail sprechen.

Silvanovich ist Mitglied des Project-Zero-Teams und hat schon mehrfach Sicherheitsprobleme in Apple-Software aufgespürt. Ende 2018 meldete sie einen Fehler in Apples Videotelefonie-App Facetime, der es Kriminellen ermöglicht hätte, allein durch einen Videoanruf das iPhone, iPad oder den Mac der Opfer abstürzen zu lassen.

Das Project-Zero-Team wurde 2014 gegründet. Es hat in den letzten Jahren zahlreiche Lücken in der Software von Microsoft, Samsung, Facebook, Apple und anderen Firmen gefunden. Umgekehrt unterhalten auch die anderen Techkonzerne Sicherheitsteams, die wiederholt Lücken bei Google gefunden haben.

Schwachstelle erinnert an Facetime-Bug

Anfang 2019 hatte sich wie ein Lauffeuer verbreitet, dass ein Programmierfehler in Facetime Anrufern ermöglicht, schon vor dem Abheben beim Angerufenen mitzuhören und diesen (unter Umständen) über die Frontkamera zu beobachten. Apple hat darauf die Funktion, die für Telefonkonferenzen gedacht ist, zwischenzeitlich komplett offline genommen.

Erst diesen Monat wurde bekannt, dass Nutzer der Computeruhr Apple Watch offenbar unerwünscht mittels iPhone belauscht werden konnten. Der iPhone-Konzern hielt das Problem laut Heise für «derart akut, dass er die komplette Walkie-Talkie-Funktion der Apple Watch, die sich ausnutzen liess, serverseitig deaktiviert hatte». Auch dieses Problem wurde mit einem Update behoben.

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
Oder unterstütze uns per Banküberweisung.

Die 10 wertvollsten Unternehmen der Welt

So würde es aussehen, wenn wir am Telefon ehrlich wären

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Kommentar

Wer glaubt, SwissCovid sei eine Spionage-App, hat diese Tweets noch nicht gesehen

Seit Donnerstag steht die Corona-Warn-App SwissCovid offiziell zum Download bereit. Anders gesagt: Nun sind WhatsApp-Gruppen-Benachrichtigungen nicht mehr die schlimmsten Notifications...

Die Schweizer Corona-Warn-App SwissCovid ist endlich am Start. Sie soll mithelfen, eine potenzielle zweite Corona-Welle möglichst flach zu halten. Mit der vom Bund lancierten App sollen Covid-19-Infektionen rasch erkannt und Ansteckungsketten nachverfolgt werden können.

Die Nutzung der Corona-Warn-App geschieht anonym und sie greift zu keinem Zeitpunkt auf den Standort zu. Da alle sensitiven Informationen stets auf dem eigenen Smartphone bleiben, sprich nicht auf einem fremden Server zentral …

Artikel lesen
Link zum Artikel