iPhones jahrelang heimlich gehackt?

Wie aus einem Blogpost von Googles Projekts Zero hervorgeht, hat die Threat Analysis Group (TAG) von Google Anfang des Jahres eine kleine Sammlung von gehackten Websites entdeckt, welche sich bereits beim Besuch unbemerkt in das iPhone eines Opfers hacken können, indem sie eine Reihe bislang unbekannter Softwarefehler ausnutzen.
 
Gemäss dem Blogbeitrag wurden die Websites tausende Male pro Woche von ahnungslosen Opfern besucht, die Angriffe fanden "ziellos" statt. So reichte ein einfacher Besuch der gehackten Websites aus, dass der Exploit-Server das Gerät angreifen konnte und ein "Überwachungsimplantat" installiert wurde. Laut den Google-Experten hätten die Websites über einen Zeitraum von mindestens zwei Jahren hinweg iPhones gehackt.
 
Die Forscher fanden fünf verschiedene Exploit-Ketten mit 12 verschiedenen Sicherheitsmängeln, darunter sieben beim Browser Safari. Die fünf anderen Mängel ermöglichten es einem Angreifer, Root-Zugriff auf das iPhone zu erhalten. Das bedeutet, dass ein Angreifer problemlos bösartige Anwendungen installieren könnte, um einen iPhone-Besitzer auszuspionieren – ohne dessen Wissen oder Zustimmung.
 
Fotos, Nachrichten und Passwörter nicht mehr sicher
Die Google-Experten kommen bei ihrer Analyse zum Schluss, dass die Schwachstellen verwendet wurden, um Fotos und Nachrichten der Opfer zu stehlen und ihren Standort zu verfolgen. Auch die geräteinterne Datenbank inklusive den gespeicherten Passwörtern sei betroffen.
 
Die Schwachstellen betreffen iOS 10 bis zur aktuellen iOS 12 Softwareversion. Google hat die Schwachstellen bereits im Februar privat offengelegt und Apple eine Woche Zeit gegeben, um diese zu beheben. Das ist ein Bruchteil der 90 Tage, die Softwareentwicklern normalerweise eingeräumt werden. Dies könnte gemäss 'Techcrunch' ein Hinweis auf die Schwere der Schwachstellen sein. Apple reagierte sechs Tage später mit iOS 12.1.4 für das iPhone 5s und das iPad Air.
 
Die Google-Experten schliessen im Blogbeitrag nicht aus, dass derzeit noch andere Hacking-Aktivitäten laufen.
 
Hohe Belohnungen für Meldung neuer Sicherheitslücken
Apple hat vor kurzem seine maximale Bug-Bounty-Auszahlung auf eine Million Dollar erhöht für alle, die Sicherheitslücken finden, die einen unbemerkten Angriff auf ein iPhone und Root-Zugriff ohne jegliche Benutzerinteraktion ermöglichen. Unter Apples neuen Bounty-Regeln hätten Google mehrere Millionen Dollar zugestanden. Apple wollte sich auf Nachfrage von 'Techcrunch' nicht dazu äussern. (nif)