Sicherheitsexperten von Google haben Webseiten entdeckt, die beim Aufrufen heimlich iPhones hacken konnten. Dabei wurden über einen Zeitraum von mindestens zwei Jahren verschiedene Sicherheitslücken von iOS genutzt, um Fotos, Nachrichten und Passwörter zu entwenden. Potentielle Angreifer hatten dabei praktisch die volle Kontrolle über die Geräte und konnten nach Belieben Daten abgreifen.
1. Angreifer machten sich 14 iOS-Sicherheitslücken zunutze
2. User sollten Nutzungsverhalten überdenken
Angreifer machten sich 14 iOS-Sicherheitslücken zunutze
Zero-Day-Exploit |
---|
Ein Zero-Day-Exploit ist eine Schadsoftware-Kette, die eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt. Entwickler haben dadurch keine Zeit („null Tage“) mehr, um die Software so zu verbessern, dass der Exploit unwirksam wird. Hacker halten Zero-Day-Exploits gerne geheim, um sie möglichst lange auszunutzen. Außerhalb der Öffentlichkeit werden Zero-Day-Exploits auch unter Hackern gehandelt oder betroffenen Unternehmen zu hohen Summen zum Kauf angeboten. Google veröffentlichte eine Dokumentation, in der alle seit Juli 2014 öffentlich bekannten Zero-Day-Exploits aufgeführt sind. Diese können Sie mit einem Klick auf „mehr dazu“ abrufen. |
Insgesamt identifizierten die Project Zero-Sicherheitsexperten 14 Schwachstellen, die die Angreifer für fünf verschiedene, jeweils komplette und einzigartige Schadsoftware-Ketten („Exploits“) nutzten. Allein sieben Sicherheitslücken betrafen dabei den Safari-Browser, der standardmäßig auf iPhones installiert ist. Die Angriffe zielten nach Angaben von Google nicht auf bestimmte Personen. Vielmehr wurden alle Besucher der manipulierten Webseiten mit der Schadsoftware infiziert, wenn sie ein verwundbares Gerät benutzten. Die Software installierte sich dabei nur temporär auf dem Gerät und wurde bei einem Reboot wieder entfernt. Wie viele Informationen die Hacker jedoch unterdessen abschöpfen konnten, lässt sich nachträglich nicht mehr feststellen.
Project Zero informierte Apple bereits am 1. Februar über seinen Fund. An diesem Tag war mindestens ein Exploit noch nicht gepatched („Zero-Day-Exploit“, siehe auch Info-Box). Am 7. Februar veröffentlichte Apple daraufhin mit iOS 12.1.4 ein außerplanmäßiges Sicherheitsupdate, mit dem die Schwachstellen behoben wurden. Die Project Zero-Experten gehen jedoch davon aus, dass auch in Zukunft ähnliche Angriffe aufgedeckt werden.
User sollten Nutzungsverhalten überdenken
Spekulationen darüber, wer für die Angriffe verantwortlich sein könnte, stellten Googles Sicherheitsexperten nicht an. Projektleiter Ian Beer gab jedoch zu bedenken, dass die Hacker immer noch großen Schaden anrichten könnten, da sie im Besitz von erbeuteten Zugangsdaten oder WLAN-Schlüsseln seien. Schutzmaßnahmen reichten niemals aus, wenn man zum Ziel erklärt würde, so Beer. Dabei genüge es beispielsweise, in einer bestimmten Region zu leben oder einer bestimmten ethnischen Gruppe anzugehören. Dies sollten User bei ihrem Nutzungsverhalten stets im Hinterkopf behalten. Wer zu viel von sich preisgebe und seinem Smartphone alle persönliche Daten anvertraue, könne diese möglicherweise eines Tages in einer kriminellen Datenbank wiederfinden und sich dadurch erpressbar machen.