Technik

Android muss nachziehen Schwachstellen in iOS zeigen dessen Stärke

iPhone Pegasus.jpg

Wie "Pegasus" zeigt, sind auch iPhones angreifbar - aber nicht lange.

(Foto: REUTERS)

Sicherheitsforscher entdecken Spionage-Software, mit der Angreifer alle Daten eines iPhone-Nutzers abgreifen können. Ein Desaster für Apple? Nein, denn die Reaktion des Herstellers zeigt, warum sich jetzt vor allem Android-Nutzer Sorgen machen sollten.

Die iPhone-Spionage-Software "Pegasus" ist laut Entdecker Lookout der bisher raffinierteste Angriff seiner Art. Das offenbar von der israelischen Firma NSO Group an Regierungen verkaufte Programm ist in der Lage, Anrufe mitzuverfolgen, E-Mails, Termine, Kontakte oder Passwörter abzugreifen. "Pegasus" kann auch heimlich Kamera und Mikrophon aktivieren, um Nutzer zu belauschen und zu beobachten. Möglich machten dies drei bisher unbekannte Sicherheitslücken (Zero-Day-Lücken), über die Angreifer unbemerkt einen sogenannten Jailbreak durchführen können, durch den sie volle Zugriffsrechte auf dem Gerät erhalten. Ein Opfer musste dafür nur einen Link antippen - beispielsweise in einer E-Mail oder SMS.

iOS war nie unangreifbar

Weil so ein gravierendes Sicherheitsproblem im Betriebssystem iOS bisher noch nie entdeckt wurde, heißt es jetzt in vielen Medien, Apple erlebe ein "Desaster". Tatsächlich war das "unangreifbare iPhone" schon vorher nur ein Mythos, ein Betriebssystem ist niemals völlig sicher und wird es auch nie sein. Wäre iOS so sicher, wie manche glauben, würden nicht ständig Jailbreaks von "guten Hackern" veröffentlicht. Viele iPhone-Besitzer nutzen sie, um ihr Gerät von Apples "Diktatur" zu befreien und beispielsweise über alternative Quellen Anwendungen zu installieren, die der Hersteller nicht in seinem Store akzeptiert. Und wie im Fall von "Pegasus" genügt dafür manchmal auch schon der Besuch einer Webseite, um ein iPhone automatisch knacken zu lassen. Dass sich Jailbreak-Nutzer damit auch besonders angreifbar machen, übersehen sie gerne.

Nur eine Frage des Geldes

Die NSO Group ist auch nicht die einzige Firma, die Cyberwaffen an Regierungen verscherbelt. Berüchtigt für solche Geschäfte ist beispielsweise das italienische HackingTeam. Und dass geheime Jailbreaks über Zero-Day-Lücken möglich sind, hat bereits im vergangenen November ein Wettbewerb gezeigt, bei dem die Sicherheits-Plattform Zerodium 1 Million Dollar Belohnung für einen erfolgreichen Hack auslobte.

Dass iOS grundsätzlich nicht unangreifbarer als Android ist, zeigten auch die zahlreichen Sicherheitsupdates, die Apple regelmäßig verteilt, sagt Experte Patrick Wardle. Und trotzdem gibt es einen gewaltigen Unterschied, der iOS-Geräte weitaus sicherer macht: Ist eine Gefahr erkannt, erhalten sie in den meisten Fällen schon nach wenigen Tagen ein Update, das das Problem beseitigt. So auch im Fall von "Pegasus", zehn Tage nach Bekanntwerden stand für alle betroffenen Geräte ein Patch bereit.

Android-Nutzer müssten lange warten

Google reagiert prinzipiell ebenso schnell auf gemeldete Schwachstellen. Doch wie bei der Stagefright-Lücke oder erst kürzlich bei "QuadRooter" zu sehen war, erreichen die Sicherheits-Updates die meisten Geräte viel später oder sehr oft auch überhaupt nicht. "Die Lieferkette ist komplex, das bedeutet, dass jeder Patch zu jedem einzelnen betroffenen Modell angepasst und getestet werden muss", sagt Check-Point-Manager Michael Shaulov. "Der Prozess, wie Android Sicherheitsupdates durchführt, ist defekt und muss repariert werden."

Tatsächlich gehen die Experten von Lookout davon aus, dass die NSO Group ein Produkt wie "Pegasus" auch für Android anbietet. Wenn dem so ist, würde auch eine Entdeckung nichts daran ändern, dass Millionen Nutzer der Malware schutzlos ausgeliefert sind. Das darf nicht so bleiben. Es kann einfach nicht sein, dass Hersteller nur für aktuelle Top-Geräte schnelle Updates bereitstellen und die Nutzer älterer oder günstigerer Smartphones im Regen stehen lassen. Alle müssen sich mit Google an einen Tisch setzen und eine Lösung finden. Jetzt, sofort und nicht erst, wenn ein "Pegasus" für Android ausgemacht ist.

Quelle: n-tv.de

Mehr zum Thema