Apple hat mit einer Serie von Software-Updates für seine Geräte zwei Sicherheitslücken geschlossen, die möglicherweise bereits ausgenutzt wurden. Eine der Schwachstellen steckte in Apples Webkit-Software, mit deren Hilfe Inhalte in Webbrowsern dargestellt werden. Präparierte Websites könnten die Lücke nutzen, um einen beliebigen Software-Code ausführen zu lassen, erläuterte Apple.

Durch diese Schwachstelle waren iPhones und iPads noch stärker bedroht als Mac-Computer: Denn auf den mobilen Geräten laufen alle Browser mit Webkit und nicht nur das hauseigene Programm Safari. Die zweite Sicherheitslücke befand sich im Kernel von Betriebssystemen von Apple. Ein Angreifer, der sich bereits Zugriff auf das Gerät verschaffte, könne damit alle möglichen Daten abgreifen, betont Sicherheitsdienstleister Sophos.

Apple hat die Sicherheitsupdates auf einer Support-Seite veröffentlicht. Der Konzern verwies bei den jetzt gestopften Sicherheitslücken auf Hinweise eines anonymen Forschers. Der iPhone-Konzern vergibt wie auch andere Unternehmen in einem Bug-Bounty-Programm Belohnungen für Informationen über Schwachstellen.

Allerdings werden nicht für alle Meldungen Belohnungen gesprochen. Der Sicherheitsforscher Michael Horowitz etwa warnt derzeit eindringlich vor Sicherheitslücken in VPN-Verbindungen auf iOS-Geräten. Er sagt, Apple wisse seit Jahren, dass diese unsicher seien und nicht alle Daten über den sicheren Kanal geleitet würden – auch wenn dies auf den ersten Blick so scheine. Laut Horowitz schliesst die Aktivierung eines VPN auf einem iOS-Gerät nämlich vorher benutzte ungeschützte Verbindungen nicht, so dass Daten dort weiterhin ausserhalb des sicheren Kanals das Gerät verlassen.

Offenbar hat Apple vor über zwei Jahren erste Hinweise auf dieses Problem erhalten. So sagte Proton-Gründer Andy Yen zu 'Ars Technica', er habe den Konzern schon 2020 auf die Lücke hingewiesen, da nur Apple als Hersteller des Betriebssystems diese beheben könne. Das geschah bislang aber offenbar nicht, zumindest nicht offiziell. Horowitz testete die Version iOS 15.6, wo die Lücke nach wie vor bestehen soll. Nutzern von iOS-Geräten empfiehlt er nach dem Start des VPN den Flugmodus einzuschalten, damit dieser alle aktiven Verbindungen kappt und sie innerhalb des VPN-Tunnels wiederhergestellt werden. Horowitz hat einen ausführlichen Blogbeitrag mit dem Titel "VPNs auf iOS sind ein Betrug" zum Ärgernis verfasst.