Hacker hatten offenbar über einen längeren Zeitraum Zugriff auf Smartphones und Tablets von Apple. Bekannt wurde das durch acht Blogeinträge, die Google-Forscher Ian Beer in der Nacht von Donnerstag auf Freitag veröffentlichte. Beer gehört zum Team Project Zero, das Sicherheitslücken finden will, bevor sie von Kriminellen ausgenutzt werden können. Noch sind viele Fragen offen. Klar ist aber: Googles Sicherheitsforscher haben einen der schwerwiegendsten Angriffe auf iPhone-Nutzer offengelegt, den es jemals gegeben hat.
Was ist passiert?
Mehr als zwei Jahre lang nutzten unbekannte Hacker eine Reihe von Schwachstellen aus und infizierten Apple-Geräte mit Schadsoftware. Es reichte, eine speziell präparierte Webseite zu besuchen, dann nistete sich das Spionageprogramm unbemerkt ins System ein und verwandelte das iPhone oder iPad in eine Wanze.
Die Angreifer machten sich 14 unterschiedliche Sicherheitslücken zunutze. Mit fünf sogenannten Exploit-Ketten durchlöcherten sie eine Sicherheitsschicht nach der anderen. Damit konnte die Schadsoftware alle Schutzmechanismen des Browsers und von Apples Betriebssystem iOS aushebeln und sich bis zum Kernel vorarbeiten, der untersten Schicht des Systems. Das gab den Angreifern nahezu vollständige Kontrolle über das Gerät.
Die Schwachstellen wurden mindestens seit Anfang 2017 aktiv ausgenutzt, möglicherweise noch länger. Betroffen waren in diesem Zeitraum alle Nutzer, die eine der Köder-Webseiten aufriefen. Angeblich soll es Tausende Besuche pro Woche gegeben haben. Regelmäßige Updates halfen nichts: Alle iOS-Versionen von 10 bis 12 waren anfällig.
Die neu entdeckte Hackergruppe APT41 geht ungewöhnliche Wege: Sie spioniert nicht nur - mutmaßlich für China- , sondern hat auch noch einen kriminellen Nebenjob.
Ist die Lücke noch offen?
Nein. Apple hat die Schwachstellen am 7. Februar 2019 mit dem Update auf iOS 12.1.4 geschlossen, eine Woche, nachdem der Hinweis von Google eingegangen war. Es besteht also keine akute Gefahr. Nutzer, die ihr Gerät seit Februar aktualisiert haben, sind abgesichert - zumindest gegen diesen Angriff.
Welche Daten konnten die Angreifer einsehen?
Wer den Kernel kontrolliert, hat die Macht. Die Angreifer konnten sich auf den infizierten Geräten nach Belieben austoben. Die Schadsoftware protokollierte den Standort in Echtzeit, hatte Zugriff auf Fotos, Kontakte und alle anderen Dokumente und konnte Daten auslesen, die Apps speichern. Das betraf auch Messenger wie Signal, Telegram oder Whatsapp: Deren Ende-zu-Ende-Verschlüsselung blieb zwar intakt, aber die Hacker sahen die Chatverläufe trotzdem im Klartext, weil sie die Nachrichten abgriffen, bevor diese verschlüsselt wurden.
Selbst Apples Schlüsselbund stand den Angreifern offen. Sie konnten auf Passwörter, Kreditkartendaten, vermeintlich sichere Notizen und andere wichtige Informationen zugreifen. In der Theorie half ein Neustart, um die Schadsoftware loszuwerden. Doch die meisten Nutzer schalten ihr iPhone nur selten aus, und da es keinerlei äußeres Anzeichen für die Infektion gab, hatten sie auch keinen Anlass dafür.
Wer steckt hinter der Attacke?
Das zählt zu den vielen offen Fragen. Die Google-Forscher nennen weder die infizierten Webseiten, noch verraten sie Details über die Angreifer. Allerdings enthält der Blogeintrag Andeutungen: Menschen hätten ins Visier der Hacker geraten können, weil sie in einer bestimmten Region geboren wurden oder Teil einer bestimmten ethnischen Gruppe sind. Die Schwachstellen hätten es ermöglicht, eine ganze Gruppe gezielt zu überwachen.
Deshalb vermuten mehrere Sicherheitsforscher, die sich auf Twitter dazu äußern, dass eine staatliche Gruppe dahintersteckt. Da die Angreifer viele Apps ausgelesen haben, die in China weit verbreitet sind, kursieren Theorien über eine gezielte Spionageaktion gegen Dissidenten und chinesische Minderheiten. Belege gibt es dafür nicht, theoretisch könnten genauso gut gewöhnliche Kriminelle dahinterstecken.
Die enormen technischen Fähigkeiten der Hacker deuten aber daraufhin, dass Profis am Werk waren, die mehr als nur Geld wollen. In dem Fall hätten sie ihr Wissen für einen zweistelligen Millionenbetrag verkaufen können, statt die Schwachstellen selbst zu nutzen. Auf dem Schwarzmarkt für Sicherheitslücken sind solche Einfallstore sehr begehrt.
Aktualisierung vom 1. September: Techcrunch und Forbes berichten unabhängig voneinander, dass staatliche chinesische Hacker für die Attacke verantwortlich seien sollen. Die Spionage habe sich gegen Uiguren in der Provinz Xinjiang gerichtet. Den Informationen von Techcrunch zufolge sollen die Angreifer auch Android- und Windows-Nutzer auf präparierte Webseiten gelockt und die Geräte mit Malware infiziert haben, um die Zielpersonen auszuspionieren.
Warum ist die Aufregung so groß?
Täglich werden irgendwelche Sicherheitslücken bekannt. Oft gefährden sie viele Millionen Menschen, manchmal stehen sie immer noch offen und können ausgenutzt werden. Dagegen wirkt dieser Angriff nebensächlich: eine Schwachstelle, die seit einem halben Jahr geschlossen ist, ein paar Zehntausend Betroffene, keine akute Bedrohungslage.
Doch es gibt einen entscheidenden Unterschied: Apple. Sicherheitslücken, mit denen iPhone-Nutzer ausgespäht werden können, sind selten. Apples Geräte gelten als sicher. Wenn überhaupt, dann gelang es Angreifern bislang, gezielt einzelne Nutzer zu attackieren.In diesem Fall nahmen die Angreifer nicht nur ein Opfer ins Visier, sondern Tausende oder Zehntausende Menschen auf einmal.
Sind iPhones jetzt unsicher?
Der klare Vorsprung, den Apple in Sachen Sicherheit einst hatte, ist geschrumpft. Einerseits haben Microsoft und Google aufgeholt: Windows 10 und aktuelle Android-Versionen sind deutlich sicherer als die Betriebssysteme vor einigen Jahren. Andererseits sind in den vergangenen Monaten mehrere Sicherheitslücken in iPhones und iMacs bekannt geworden, die Apples Ruf ankratzen.
Das hat drei Gründe: Erstens gibt es fast anderthalb Milliarden aktiv genutzte Apple-Geräte. Früher war die Zahl der Apple-Nutzer signifikant geringer als die der Windows-Nutzer. Mittlerweile lohnt es sich für gewöhnliche Kriminelle viel eher, auch iPhones und iMacs zu attackieren. Zweitens nutzen Menschen, die wissen, dass sie potenziell gefährdet sein könnten, häufig iPhones. Das gilt etwa für Politiker, investigative Journalisten oder Dissidenten. Deshalb sind Sicherheitslücken, die erfolgreiche Angriffe ermöglichen, so viel wert - und deshalb versuchen so viele kriminelle Hacker, Schwachstellen zu finden.
Drittens hat Apple Fehler gemacht. Die neueren iOS-Versionen enthalten viele neue Funktionen, der Fokus auf absolute Stabilität und Sicherheit ging mitunter verloren. Dennoch zählen iPhones nach wie vor zu den sichersten Smartphones. Im Gegensatz zu den meisten Android-Geräten erhalten sie jahrelang Updates. Wenn Apple eine Sicherheitslücke entdeckt, wird sie meist schnell geschlossen. Wichtig ist für Nutzer vor allem eines: Updates sofort installieren.
