Netzwelt

iOS jetzt updaten

Kurznachricht verschafft Hackern Zugriff aufs iPhone

Mit iOS 12.4 schließt Apple mehrere potenziell kritische Sicherheitslücken. Sie ermöglichen Angriffe, gegen die sich Opfer nicht wehren können. Entdeckt wurden sie von Googles besten Hackern.

Tatyana Makeyeva/REUTERS

Update auf iOS 12.4 stopft schwere Sicherheitslücken: iPhone XS

Von
Donnerstag, 01.08.2019   14:53 Uhr

Googles Elite-Hacker aus dem Project Zero haben gleich sechs schwere Sicherheitslücken in Apples Dienst iMessage entdeckt, mit denen iPhone-Besitzer ausspioniert oder sabotiert werden könnten. Am Dienstag veröffentlichten sie Informationen zu fünf von ihnen, nachdem Apple die Lücken mit der Version 12.4 seines Betriebssystems iOS geschlossen hatte.

Details zur sechsten Schwachstelle halten die Beteiligten noch zurück, weil die neue iOS-Version 12.4 das Problem nach Ansicht von Project Zero nicht vollständig behebt. Trotzdem sollten Besitzer von iOS-Geräten umgehend das Update installieren (über das Menü Einstellungen/Allgemein/Softwareupdate). Denn die Sicherheitslücken lassen sich für unbemerkte, nicht zu verhindernde Angriffe aus der Ferne nutzen. Die Opfer müssen dazu nichts tun, klicken oder bestätigen. Es reicht, wenn ihr Gerät eine präparierte iMessage empfängt.

Googles Natalie Silvanovich beschreibt die Schwachstellen hier und stellt einen Code zur Verfügung, mit dem sie sich ausprobieren lassen. Wie ein Angriff in der Praxis aussehen kann, zeigt ein Sicherheitsforscher, der nicht für Google arbeitet, hier im Video: Er schickt eine iMessage an ein iPhone und bekommt dadurch Zugriff auf Fotos, die im iPhone gespeichert sind.

Wer es schafft, auf der Basis solcher Schwachstellen funktionierende Exploits (Software, die Sicherheitslücken ausnutzt, um das Zielgerät zum Beispiel zu durchsuchen oder zu überwachen) zu entwickeln, kann damit sehr viel Geld verdienen. Im Fall von iOS sogar Millionen von Dollar. Der Grund: Methoden, um unbemerkt aus der Ferne und ohne Zutun der Opfer einen eigenen Code auf deren iPhone auszuführen, sind selten und bei Entwicklern von Spionagesoftware entsprechend begehrt.

Allerdings reicht das Wissen um die Schwachstellen allein nicht aus, um reich zu werden:

Weil Betriebssysteme wie iOS und auch Android aber diverse Sicherheitsfunktionen haben, mit denen der Zugriff auf verschiedene Bereiche erheblich erschwert wird, brauchen Angreifer meist eine ganze Kette von ausnutzbaren Schwachstellen.

Die Erkenntnisse von Project Zero zeigen daher zunächst einmal nur, dass es grundsätzlich möglich ist, auch die vergleichsweise sicheren iOS-Geräte aus der Ferne zu überlisten - und dass selbst Apples Sicherheitsexperten Fehler machen. Darüber will Silvanovich kommende Woche auf der IT-Sicherheitskonferenz Black Hat in Las Vegas sprechen.

insgesamt 27 Beiträge
chk_23 01.08.2019
1. Schnelle Reaktion
Apple hat von den Sicherheitslücken erfahren und sie geschlossen. Punkt. Ende der Geschichte. Und nun wiederholen wir alle zusammen: Bei Apple sind meine Daten sicher. Bei Apple sind meine Daten sicher. Bei Apple sind meine [...]
Apple hat von den Sicherheitslücken erfahren und sie geschlossen. Punkt. Ende der Geschichte. Und nun wiederholen wir alle zusammen: Bei Apple sind meine Daten sicher. Bei Apple sind meine Daten sicher. Bei Apple sind meine Daten sicher.
spon_5112961 01.08.2019
2. Alles gut...
ich lese hier immer nur über bereits von Apple geschlossene Sicherheitslücken, die so gut wie nie Schaden anrichten. Außerdem haben Apple-User dank einfachster Update-Maßnahmen eine über 80 prozentige [...]
ich lese hier immer nur über bereits von Apple geschlossene Sicherheitslücken, die so gut wie nie Schaden anrichten. Außerdem haben Apple-User dank einfachster Update-Maßnahmen eine über 80 prozentige Up-to-Date-Quote...träumt Android von!
Hukowski 01.08.2019
3. Aber natürlich
Würde der NSA etwa unsichere Daten akzeptieren?
Zitat von chk_23Apple hat von den Sicherheitslücken erfahren und sie geschlossen. Punkt. Ende der Geschichte. Und nun wiederholen wir alle zusammen: Bei Apple sind meine Daten sicher. Bei Apple sind meine Daten sicher. Bei Apple sind meine Daten sicher.
Würde der NSA etwa unsichere Daten akzeptieren?
Furchensumpf 01.08.2019
4.
Und wieder jemand, der nach wie vor nicht verstanden hat, dass Android nicht gleich Android ist. Google stellt das OS zur Verfügung, was die Hersteller daraus machen ist eine andere Sache. Wer sich also ein wenig informiert [...]
Zitat von spon_5112961ich lese hier immer nur über bereits von Apple geschlossene Sicherheitslücken, die so gut wie nie Schaden anrichten. Außerdem haben Apple-User dank einfachster Update-Maßnahmen eine über 80 prozentige Up-to-Date-Quote...träumt Android von!
Und wieder jemand, der nach wie vor nicht verstanden hat, dass Android nicht gleich Android ist. Google stellt das OS zur Verfügung, was die Hersteller daraus machen ist eine andere Sache. Wer sich also ein wenig informiert wird die gleiche Versorgung mit Updates erfdahren wie bei iOS - vor allem wenn er ein Smartphone mit Android One hat. Mein Nokia 7 Plus hat auch mit Android 8 angefangen, hat 9 bekommen und Android 10 wurde auch bereits bestätigt. Dazu gibt es jeden Monat Sicherheitsupdates - Seit zwei Jahren und sie wird es noch weiter geben. Mich würde wirklich mal die Motivation hinter solchen Kommentaren interessieren. Mal davon abgesehen sollte man Apple wegen Sicherheitspatches auch nicht in den Himmel loben - da wird nicht selten erst nach einem halben Jahr oder länger reagiert - oder erst dann, wenn der Finder damit an die Öffentlichkeit geht. Google ist da wesentlich schneller, da gibt es 2-3 Tage später bereits einen Fix. Was die Hersteller daraus machen steht natürlich auf einem anderen Blatt...
tommix68 01.08.2019
5. Ach, lieber Furchensumpf...
Tun Sie mal nicht so als ob Sie nicht wüssten das die breite Masse an Android-User eben NICHT mit einem Stock-Android (sprich original Google) unterwegs sind. Was deren Patch- und Update-Politik angeht muss ich Ihnen wohl nicht [...]
Tun Sie mal nicht so als ob Sie nicht wüssten das die breite Masse an Android-User eben NICHT mit einem Stock-Android (sprich original Google) unterwegs sind. Was deren Patch- und Update-Politik angeht muss ich Ihnen wohl nicht erklären wie unzureichend das ist. Viele beschweren sich dann auch über Bloatware die sie dann gleich dazu bekommen... ach herrje... da lob ich mir mein iOS. Ich kann zumindest sicher sein das Lücken einen Patch bekommen.

Verwandte Themen

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung

TOP