Technik

Unbemerkt beim Surfen iPhones konnten jahrelang gehackt werden

iPhone Nutzer.jpg

Um ein iPhone zu infizieren, genügte es, eine manipulierte Webseite zu besuchen.

(Foto: imago images / Westend61)

Googles Sicherheitsforscher finden heraus, dass iPhones jahrelang über manipulierte Webseiten gehackt und ausspioniert werden konnten. Die Angreifer hatten dabei praktisch volle Kontrolle über die Geräte und konnten nach Belieben Dateien, Fotos, Chats oder Zugangsdaten abgreifen.

Googles Project Zero hat Anfang des Jahres mehrere manipulierte Webseiten gefunden, über die es möglich war, iPhones mit Malware zu infizieren. Über sogenannte Implants war es den Angreifern nicht nur möglich, Daten oder Fotos zu kopieren und den Standort abzurufen. Sie hatten vollen Zugriff auf alle Bereiche der Geräte und konnten auch Nachrichten von Ende-zu-Ende-verschlüsselten Messengern wie iMessage, Whatsapp oder Telegram aus dem Code auslesen. Auch E-Mail-Apps waren für die Angreifer offene Bücher, und sie konnten sogar gespeicherte Zugangsdaten und Anmelde-Tokens aus dem iCloud-Schlüsselbund stehlen.

Kompliziert und teuer

Insgesamt machten die Sicherheitsforscher 14 Schwachstellen aus, die die Hacker für fünf Angriffsketten ausnutzten. Da die sogenannten Exploits ziemlich kompliziert sind und bei iPhones auf dem Schwarzmarkt sehr teuer gehandelt werden, vermutet das Project-Zero-Team, dass sie möglicherweise Geheimdiensten dazu dienten, bestimmte Bevölkerungsgruppen auszuspionieren. Dabei genügte es, die manipulierten Webseiten zu besuchen, eine weitere Aktion seitens der Opfer war nicht nötig, um das Implant zu platzieren.

Die Forscher gehen davon aus, dass die Kampagne mindestens zwei Jahre lang lief und Apples Betriebssystem von iOS 10 bis zu iOS 12 verwundbar war. Google informierte Apple am 1. Februar mit einer siebentägigen Frist, bis die Problematik öffentlich gemacht worden wäre. Apple veröffentlichte daraufhin am 7. Februar das Update auf iOS 12.1.4, um die Schwachstellen zu schließen. Die Forscher weisen darauf hin, dass mindestens eine der fünf Angriffsketten am Tag der Entdeckung noch nicht gepatched war, also ein sogenannter Zero-Day-Exploit war.

Gefahr nicht gebannt

Projektleiter Ian Peer schreibt, die Angreifer könnten immer noch großen Schaden anrichten, da sie ja immer noch im Besitz der erbeuteten Zugangsdaten und -Tokens seien. Außerdem sollte man sich im Klaren darüber sein, dass es mit großer Wahrscheinlichkeit noch ähnliche Hacker-Kampagnen gäbe, die bisher noch nicht entdeckt worden seien. Schutzmaßnahmen seien niemals ausreichend, wenn man zum Ziel erklärt wurde, schreibt Beer. Es könne genügen, einfach nur in einer bestimmten Region zu leben oder einer bestimmten ethnischen Gruppe anzugehören.

Dies sollte man immer im Hinterkopf behalten und sich entsprechend verhalten, rät Peer. Wenn Nutzer ihre Smartphones in ihr Leben integrierten und ihnen alles anvertrauten, könnten diese Informationen unter Umständen in einer Datenbank landen und gegen sie verwendet werden. Im konkreten Fall konnten Nutzer eines gekaperten iPhone die Spione ganz simpel durch einen Neustart loswerden. Das wird nicht immer so einfach sein.

Quelle: n-tv.de, kwe