Mel
In der letzten Zeit hat das Google-Team von Project Zero so einige Sicherheitslücken im Internet aufgedeckt. Wie jetzt in einem kürzlich erschienenen Blogpost der Forscher bekannt wurde, gibt es bösartige Websites im Netz, die es sich seit Jahren zur Aufgabe gemacht haben, Schwachstellen in der Software von iPhones zu nutzen, um sich dann in das Gerät einzuschleusen. Erschreckenderweise genügt es dazu offensichtlich, die entsprechenden Websites mit einem iPhone aufzurufen, um den Hackern Tür und Tor zu öffnen.
„Ein einfacher Besuch der gehackten Seite reicht aus, damit der Exploit-Server das Gerät angreifen konnte, und wenn dies erfolgreich war, wurde eine Überwachungs-Software implementiert“, so Ian Beer, Sicherheitsforscher bei Googles Project Zero. Beer spricht von einem Zeitraum von „mindestens zwei Jahren“, in denen dies möglich gewesen sein soll. Die entsprechenden Websites sollen von ahnungslosen Nutzern tausende Male pro Woche aufgerufen worden sein.
Insgesamt wurden fünf Zugriffsmöglichkeiten gefunden, die auf zwölf Schwachstellen beruhen – davon sieben in Apples Browser Safari, der auf allen iPhones vorinstalliert ist. Über die fünf Exploit-Optionen ist es den Hackern ermöglicht worden, sogenannte Root-Zugriffe auf das iPhone zu bekommen, das höchste Zugriffslevel auf einem Gerät. Über diese weitläufigen Zugriffe kann der Hacker dann problemlos Schadsoftware installieren, um den iPhone-Besitzer ohne sein Wissen oder Zustimmung auszuspionieren. Laut Angaben vom Project Zero-Team wurde die Schadsoftware unter anderem dafür genutzt, um Fotos und Nachrichten des Nutzers abzugreifen, den Standort nahezu in Echtzeit zu tracken sowie Zugriff auf gesicherte Passwörter zu bekommen.
Schwachstellen bei Apple schon seit Februar bekannt
Die Schwachstellen sollen iOS 10 bis hin zum aktuellen iOS 12 betreffen und von Apple behoben worden sein. Schon im Februar hatte Google unter Ausschluss der Öffentlichkeit Apple auf die Schwachstellen hingewiesen und dem Konzern eine Woche Zeit gegeben, diese zu bearbeiten. Normalerweise werden Software-Entwicklern in einem solchen Fall 90 Tage eingeräumt, um an den Sicherheitsproblemen zu arbeiten, ehe sie öffentlich gemacht werden. Die kurze Frist zeigt, welch schwerwiegende Auswirkungen die Schwachstellen haben könnten.
Mit einem Update auf iOS 12.1.4 hatte Apple seinerzeit die Sicherheitslücke binnen sechs Tagen behoben. Ian Beer geht aber davon aus, dass auch andere Websites weiter versuchen werden, über diese und ähnliche Methoden Root-Zugriff auf iPhones zu bekommen. Immerhin liegt Apple viel daran, dass Sicherheitslücken unter iOS aufgedeckt werden: Bis zu einer Million USD Belohnung gibt es seit diesem Jahr für Sicherheitsforscher, die eklatante Lücken entdecken, die Root-Zugriff auf das System ermöglichen. Für Endnutzer empfiehlt sich daher wie gehabt, Updates nicht auf die lange Bank zu schieben, sondern softwaretechnisch immer auf dem neuesten Stand zu bleiben – nur so ist ein sicheres System gewährleistet.
Es fehlt der Hinweis, das, sollte die Software installiert worden sein, ein Neustart des Gerätes ausreichte, diese wieder zu entfernen. ?
Websites sind nicht bösartig, (manche) Menschen sind es.
Wieso findet man im Internet eigentlich keine Angaben um welche Websites es sich handelt? Sind die Seiten illegal oder mit pornografischem Inhalt? Somit könnte man das eigene Risiko etwas besser abschätzen ob man betroffen ist/war.
Weil das nur Unsicherheit auslösen könnte. Der eine schaut zB Pornos. Dann wärens die XXX Sites. Alle anderen fühlen sich sicher. Das wäre somit ein Trugschluss. Es sind mindestens 2 Jahre vergangen. Da war bestimmt jeder einmal betroffen. Krasse Sache
Ok, stimmt auch wieder. Aber was mich auch interessieren würde, ob es Websites waren die von den Hackern erstellt wurden, oder waren es fremde Websites die die Hacker manipuliert haben und diese den Exploit unwissentlich verteilt haben. Aber gut, wird man wohl nicht erfahren.
Ich bin verwirrt: Google, für Viele an der Spitze der Achse des Bösen, muss Apple, für Viele an der Spitze der Retter der Witwen und Waisen, helfen, eine wirklich gefährliche Sicherheitsbedrohung zu finden! ?
Sollte die Welt nicht Schwarz und Weiß sein??? ?
(Und wow, was kann man im Deutschen für verschachtelte Sätze schreiben… ? )
@WePe: Nein, Du bist nicht verwirrt, denn natürlich weißt Du dass alle großen IT-Konzerne eine Forchungsabteilung und Bountyhunter-Programme haben. Und natürlich weißt Du auch, dass es um Prestige geht. Aber es ist nachvollziehbar, dass Du diese Meldung nimmst, um auf die vielen Graustufen hinzuweisen ?
Das hat ja nichts damit zu tun, dass versehentlich Sicherheitslücken bei der Programmierung entstehen und wer diese aufdeckt. Da sind alle gleichgestellt. Auch wenn viele schlaue Leute entwickeln und testen gibt es wohl immer jemanden, der 5 mal um die Ecke denkt und dann eine Lücke findet, die man nicht bedacht hat.