Google entdeckt großen iPhone-Angriff
Es ist das schlimmste bisher bekannt gewordene Angriffsszenario gegen das iPhone von Apple. Aus dem Smartphone konnten bis Anfang Februar alle möglichen privaten Daten wie Fotos oder der Aufenthaltsort abgegriffen werden. Dazu reichte es, eine präparierte Webseite zu besuchen. Die Attacke scheint aber nur gezielt eingesetzt worden zu sein.
Die Schwachstellen, die das ermöglichten, wurden von Google-Experten entdeckt und von Apple nach einem Hinweis per Software-Update geschlossen. Google veröffentlichte nun Details zu entsprechenden Hacker-Angriffen, die mindestens zwei Jahre andauerten. Dabei wurde bisher nicht genau bekannt, wie viele Nutzer betroffen waren und wer hinter der Attacke stand.
Infektion per Webseiten-Besuch
Die von Google entdeckten Angriffe seien mindestens zwei Jahre lang auf iPhone-Nutzer in “bestimmten Communities” ausgerichtet gewesen, hieß es in dem Blogeintrag der Forscher ohne nähere Angaben dazu. Um ein iPhone mit der Schadsoftware zu infizieren, reichte es aus, den Nutzer auf eine präparierte Website zu locken. Die Experten von Googles Project Zero machten mehrere solche Webseiten aus, die “Tausende Besucher” pro Woche hatten.
Die Angriffs-Software war auch darauf ausgerichtet, Passwörter und sogenannte Authentifizierungs-Token abzugreifen, mit denen man sich ohne weitere Anmeldung Zugang zu Online-Diensten verschaffen kann. Außerdem konnten Nachrichten in Chat-Diensten wie WhatsApp, iMessage und Telegram mitgelesen werden. Denn die Übermittlung innerhalb der Dienste ist zwar verschlüsselt, aber auf den Geräten sind die Daten im Klartext vorhanden. Die Schwachstellen, die das möglich machten, steckten im Web-Browser der iPhones, aber auch tief im Betriebssystem, dem sogenannten Kernel. Sie hebelten unter anderem das sogenannte Sandboxing aus – die Grenzen zwischen einzelnen Programmen auf dem Gerät, auf die Apple als Schutzmechanismus setzt.
Was tun als iPhone-Nutzer?
Als Sofortmaßnahme sollte man das Gerät einmal neu starten, da ein kompromittiertes System anschließend nicht mehr infiziert ist. Dauerhaften Schutz bietet nur eine aktuelle iOS-Betriebssystem-Version. Betroffen waren die iOS-Versionen 10, 11 und 12. Mit iOS 12.1.4, das im Februar 2019 erschien, hat Apple die Lücke gestopft. Aktuell ist die Version 12.4.1. Installieren kann man das Update entweder, indem man auf dem iPhone die Einstellungen öffnet und unter “Allgemein” auf “Softwareupdate” tippt. Oder man verbindet das Telefon mit einem PC oder Mac und startet iTunes auf dem Rechner.
Stümperhafte Umsetzung
Die Entdeckung eines möglichen Datenabgriffs in dieser vermuteten Breite ist gravierend, da das iPhone eigentlich als schwer zu hacken gilt. Man ging bisher eher davon aus, dass einzelne besonders wichtige Zielpersonen Opfer solcher Attacken werden könnten, doch die Angriffe zu aufwendig wären, um die breite Masse der Nutzer ins Visier zu nehmen. Mit diesen Schwachstellen konnten jedoch beliebig viele Geräte allein durch einen Webseitenbesuch angegriffen werden. Von Apple gab es zunächst keinen Kommentar zu den Informationen.
Den Google-Forschern fiel auf, dass sich die Angreifer wenig Mühe machten, die Attacken zu verbergen. So übermittelte die Schadsoftware die abgegriffenen Daten unverschlüsselt in ihre Zentrale. Außerdem waren die Server der Angreifer relativ einfach zu blockieren, weil ihre festen IP-Adressen direkt in dem Schadprogramm enthalten waren. Ein Neustart löschte die Angriffs-Software vom Gerät.
Der IT-Sicherheitsexperte Jake Williams von der Firma Rendition Infosec vermutete gegenüber des US-Magazins Wired, dass hinter den Attacken relativ unerfahrene Programmierer einer Regierungsbehörde stecken könnten. Vermutlich haben sie die Informationen über Schwachstellen von einem darauf spezialisierten Anbieter bekommen. Dass die Attacken trotz der eher stümperhaften Umsetzung so lange unentdeckt blieben, könnte darauf hinweisen, dass sie sich nur innerhalb eines einzelnen Landes abspielten.
Ziel: Uiguren
Google-Forscher Beer schrieb, die Realität sei, dass Sicherheitsvorkehrungen nie das Risiko gezielter Angriffe ganz ausräumen könnten. "Es kann ausreichen, in einer bestimmten Region geboren worden zu sein oder zu einer bestimmten ethnischen Gruppe zu gehören, um zum Angriffsziel zu werden. Unter den Diensten, die die Angriffs-Software ins Visier nahm, waren in China populäre Angebote vom dortigen Tencent-Konzern – aber auch in dem Land gesperrte Dienste wie Google Gmail oder WhatsApp.
Mit dieser Beschreibung könnte es sich um eine gezielte Ausspähaktion handeln, die zum Beispiel auf Dissidenten oder einzelne Bevölkerungsgruppen zielte. Die US-Nachrichtenseite Techcrunch berichtet, dass der Ausgangspunkt der Angriffe in China liege. Demnach seien uigurische Muslime das Ziel. Sie leben als Minderheit hauptsächlich in der Provinz Xinjiang und sind dort repressiven Maßnahmen ausgesetzt. (dpa / hcz)