Bedrohung durch Schadsoftware wächst
Pegasus-Schwachstelle: Sicherheitsforscher kritisieren Apple
Apple hat inzwischen detaillierte Informationen zu den mit den letzte Woche veröffentlichten Betriebssystem-Updates gestopften Sicherheitslücken veröffentlicht. Die Liste der behobenen Probleme ist außergewöhnlich umfangreich und legt die Installation der verfügbaren Aktualisierungen auf allen Geräten nahe.
Auf der Webseite Apple-Sicherheitsupdates findet sich eine Übersicht der aktuellen Systemversionen und von dort aus sind auch die zugehörigen detaillierten und gerätespezifischen Listen der Problembehebungen inklusive Informationen zu den damit verbundenen Gefahren abrufbar. Auch wenn bei keiner der mit den Aktualisierungen gestopften Schwachstellen vermerkt wird, dass deren aktive Ausnutzung bereits bekannt ist, ist ein Update zur Problembehebung sicher empfehlenswert.
Zu Pegasus hält sich Apple weiter bedeckt
Erwähnenswert, wenngleich wohl nicht überraschend ist die Tatsache, dass sich in den neu von Apple veröffentlichten Dokumenten keine Erwähnung der Spyware Pegasus findet. Apple hat bislang auch nicht bestätigt, dass seine Betriebssysteme keinen Schutz vor der Spionagesoftware bieten, sondern es lediglich bei einem allgemeinen Statement belassen, in dem darauf hingewiesen wird, dass keine Bedrohung für die Allgemeinheit bestehe und man zudem unermüdlich gegen solche Schwachstellen ankämpfe. Der Guardian zitiert Apple wie folgt:
Seit mehr als einem Jahrzehnt ist Apple führend in Sachen Sicherheitsinnovationen und als Ergebnis sind sich Sicherheitsforscher einig, dass das iPhone das sicherste mobile Endgerät auf dem Markt ist. Angriffe wie die beschriebenen sind sehr ausgeklügelt, kosten Millionen von Dollar in der Entwicklung, haben oft nur eine kurze Lebensdauer und zielen auf bestimmte Personen ab. Das bedeutet zwar, dass sie keine Bedrohung für die überwältigende Mehrheit unserer Benutzer darstellen, dennoch arbeiten wir weiter unermüdlich daran, alle unsere Kunden zu schützen, und wir fügen ständig neue Schutzmaßnahmen für ihre Geräte und Daten hinzu.
Zumindest ein Teil der von Apple zitierten Sicherheitsforscher reagiert auf dieses Selbstverständnis jedoch mit Kritik. Das verschlossene System hindere diese daran, Apple bei der Suche nach Schwachstellen zu unterstützen. Eine gängige Praxis, von der Unternehmen wie Microsoft längst Gebrauch machen. Der Windows-Konzern hält das Credo der Zusammenarbeit hoch und lobt die Unterstützung der Sicherheitsforscher, mit deren Hilfe man Schwachstellen auffinden und stopfen könne, was letztendlich allen Nutzern zugute käme.
iMessage-Lücke macht Pegasus-Spionage möglich
Auf dem iPhone nutzt Pegasus offenbar eine Schwachstelle in Apples iMessage-System aus. Den Berichten zufolge genügt dabei eine vom Benutzer unbemerkte Nachricht, die auch keinerlei Interaktion erfordere, um auf umfassende private Inhalte der Zielperson zugreifen zu können, darunter die persönliche Kommunikation sowie Fotos und Videos bis hin zum Live-Zugriff auf das Mikrofon und die Kamera.
Als einzig „positive“ Nachricht bleibt zu vermelden, dass man die Wahrscheinlichkeit, dass ein „gewöhlicher“ iPhone-Nutzer von den Attacken betroffen ist, als außerordentlich gering einstufen kann. Der damit verbundene hohe Aufwand hat zur Folge, dass die dahinterstehenden Regierungen oder Organisationen ihre Spionageaktivitäten gezielt auf ausgewählte Personen ausrichten – im aktuellen Fall insbesondere Menschenrechtler, politische Aktivisten und Journalisten. Für Apple sollte jedoch auch dies schon Grund genug sein, über die Verwendung plakativer Sprüche wie „What happens on your iPhone, stays on your iPhone“ nachzudenken.
Die beteiligten Organisationen haben übrigens ein Prüfwerkzeug bereitgestellt, mit dessen Hilfe sich Backups eines iOS-Geräts auf das Vorhandensein der Spionagesoftware überprüfen lassen.
Mir reicht das Zitat aus. Der Rest ist meckern auf hohem Niveau den sich nur iOS User leisten können.
Würdest du zu der ausspionierten Gruppe gehören, würde dein Kommentar sicherlich anders ausfallen. Einfach nur ignorant und völlig naiver Kommentar…
Genau das wollte ich auch schreiben! Wahrscheinlich ein Fanboy
Das Wort „Fanboy“ zu benutzen finde ich schon extrem infantil.
In diesem Forum ist er ja schon länger als Fanboy-Lemming bekannt, von daher stimmt die Aussage zu 100%. Er redet Apple alles nach, wirklich alles, ausnahmslos und dann ständig die Verweise auf die Konkurrenz bei der alles viel schlimmer ist. Sehr geistreich.
Wusste noch gar nicht das ich nach einer Woche schon berühmt bin. Android-Fanboy
Was hat das mit Meckern auf hohem Niveau zu tun? Man sollte nicht so großspurig werben, wenn man etwas nicht einhalten kann
Wenn man die Konkurrenz anschaut die mit den gleichen Problem zu kämpfen hat und monatlich mehr Sicherheitslücken aufweist und viele nicht auf alte Geräte geschlossen werden… ja auf sehr hohen Niveau.
Bei der Konkurrenz zahle ich aber nicht die Extra-Datenschutz-Steuer den der gute Tim immer so propagiert. Somit mal wieder alles nur Marketingsülze, genau wie die Kontrollen im App-Store. Ja, es ist jammern auf einem sehr hohen Niveau, aber dieses Nieveau hat Apple erfunden.
@ treft
Immer die Sinnlosen vergleiche mit anderen.. macht es jetzt die Apple Bugs besser oder schlechter..
Klar hat jede Software, ab einer bestimmten Größe Bugs.
.. das war aber nicht die Frage. Der Umgang mit ihnen ist hier das Thema und der ist unterirdisch.
Klar Stellung beziehen, ist anders!
Es ist nicht zu verstehen, wie bereit Menschen sind, sich zumindest in der Anlage ihrer Kommentare, bereitwillig die demokratische Grundordnung abschaffen wollen, die maßgeblicher Garant dafür ist, dass sie solche Kommentare abgeben können. Wenn kritischer und investigativer Journalismus als wichtige Kontrollinstanz durch Spionagemöglichkeiten wie Pegasus beeinträchtigt werden, kann es schnell vorbei sein mit einer freien Meinungsäußerung,
Nichts hinzuzufügen!
Ja!
Danke +1
+ 1
Seine Name ist „theft“, was habt ihr von so einer Person erwartet? ;) Diebe gehören nunmal zum Bodensatz der Gesellschaft!
Betrifft mich nicht, ist mir egal.
Na Dankeschön, auf Wiedersehen!
theft, jeder User würde -vollig zu Recht!!- bei jedem Billigst-Gerät meckern, wenn seine Audio- und Videodaten via Kamera und Mikrophon abgehört werden. IOS-User bezahlen für exorbitant teure Apple-Hardware – und Du bezeichnest das als „Meckern auf hohem Niveau“? Stehst Du am Ende vielleicht auf der Gehaltsliste der Macher von Pegasus & Co. – oder weshalb sonst versuchst Du, ein sperrangelweit offenes Scheunentor im (IOS-) Datenschutz kleinzureden? Na??? … … …
theft, kannst Du uns vielleicht mal erklären, wie Du darauf kommst, daß -selbst, wenn die Konkurrenz die gleichen Probleme/Fehler hätte/aufwiese-, Derartiges als Rechtfertigung für Apple’s Datenschutzlücke usw. dienen könnte? Wenn andere in die Mosel springen, springst Du dann hinterher?
Mal ganz abgesehen davon, theft, daß jede(r) User(in) bei jedem 08/15-Gerät -völlig zu Recht!!- über Mithörmöglichkeiten via Kamera und Mikrophon „meckern“ würde, um wieviel berechtigter ist da wohl das Meckern der IOS-User? Datenschutz ist ein Grundbedürfnis, von „Meckern auf hohem Niveau“ kann hier diesbezüglich also überhaupt keine Rede sein!
OneMoreThing, theft: willst Du vorliegend das OffeneScheunentor in Apple’s Datenschutzpolitik kleinreden, weil Du:
a) absoluter Apple-Fanboy bist, und/oder
b) weil Du vielleicht auf der Gehaltsliste von Pegasus & Co. stehen könntest? … … …
Du liebe Zeit. Ich habe wirklich noch nie ein iOS-Update gesehen, dass so viele „Ausführung vn willkürlichem Code“-Lücken schliesst. Da bekommt man den Eindruck, 14.6 war offen wie ein Scheunentor – und auch, dass da mit Sicherheit noch etliche weitere Lücken schlummern.
Ich finde die Liste mit geschlossenen Sicherheitslücken generell immer ziemlich lang.
Vielleicht wird durch das neue Bug Bounty Programm aber auch einfach mehr gemeldet bzw. intensiver gesucht.
Und alle denken, dass iOS sicher ist..
iOS ist auch sicher im Vergleich zu allen anderen Betriebssysteme wenn du das bereits vergessen hast.
Alles lässt sich hacken – meine Meinung, nur wie leicht?
@was für Benutzername, ja: Wenn Deine Aussage nicht nur auf die 2 Betriebssysteme für Mobilephones gerichtet ist, macht Linux auf mich eigentlich einen sichereren Eindruck.
Nicht nur 14.6, sondern auch alles davor! Muss ja Gründe geben, wieso 0-Days für iOS in den einschlägigen Marktplätzen quasi verschleudert wurden.
Hoffentlich hat Apple endlich mal wieder aufgeräumt. Es ist mir immer noch unverständlich, wieso ein solch reiches Unternehmen nicht einfach selbst über Strohleute Exploits ankauft, um sie dann zu schließen.
Wenn man so eine Lücke findet, hat man 2 Möglichkeiten: Ich „verkaufe“ sie an Apple oder ich verkaufe sie an Firmen wie NGO. Offenbar war letzteres wesentlich attraktiver.
NSO – NGOs machen anderes ;)
Autsch, klar, danke für die Verbesserung.
Seit 2017 während dem Einrichten mein neuer iMac via iCloud verschlüsselt wurde und ich iPad und die zwei neueren iPhones nur durch ausschalten der iCloud auf den Geräten vor Verschlüsselung retten konnte – iPhone 3GS hatte es erwischt, betrachte ich die Sicherheits-Werbesprüche anders.
Windows und Android ist für mich zwar nach einiger Zeit ungewohnt aber wenn die Apothekerpreise noch weiter steigen klar ein Ausweg. Da halten mich keine suggestiven Sicherheitsversprechen zurück.
?
Ich bin inzwischen auch nicht mehr so sicher, ob iOS wirklich sicher ist.
Apples Marketing Blabla mal außen vorgelassen, gibt es keine Möglichkeit für Außenstehende das System wirklich zu überprüfen.
Android hingegen ist Open Source und wird von weit mehr Menschen verwendet (und überprüft) als irgendein anderes Betriebssystem.
Insofern wäre meine Vermutung, dass Sicherheitslücken dort relativ schnell veröffentlicht und geschlossen werden, zumindest bei Android one (Dort gibt es meines Wissens nach monatliche Updates).
Bei Android werden auch monatlich mehr Sicherheitslücken gefunden und bei vielen Geräten nicht mehr geschlossen.
Nur weil bei Android mehr gefunden wird, heißt das ja nicht automatisch dass er iOS sicher ist (Open Source kann eben einfacher geprüft werden).
Android One bietet monatliche Updates.
Von den 50.000nummern wurden wieviele iOS Geräte mit Schadsoftware gefunden? Und wieviele Androiden waren dabei?
Läuft diese malware nur unter iOS ?
So ketzerische Fragen darfst aber eigentlich nicht stellen. Damit zerstörst Du ja vielen die Argumentationskette
Auf Androiden ist der Nachweis schwieriger, auf iOS bleiben immer ein paar Spuren in den Logfiles.
Hier die Produktbroschüre mit Details
https://www.documentcloud.org/documents/4599753-NSO-Pegasus.html
Blöd nur, dass Apple immer lauthals über das „unsichere Android“ gelästert hat und seinen Kunden vollständige Privatsphäre versprochen hat. Wer im Glashaus sitzt und so….
Der Unterschied ist das du bei ios richtig was drauf haben musst. Bei android kommt jedes Scriptkiddie rein… das reichen einfache Nachrichten oder versteckte Buttons…
VeNoM, du hast absolut keine Ahnung.
Ein Android bekomme ich viel sicherer, so sicher wird iOS nie werden.
zu den Updates, das ist so auch nicht richtig. Wenn ich LineageOS installiere, bekomme ich sogar nach 8 Jahren noch Updates, da ist bei Apple seit 3 Jahren Schuss mit Updates und ich habe als Kunde keinerlei Chance auf anderen Wegen an Updates zu kommen.
wer auf der ganz sicheren Seite sein will installiert sich einfach GrapheneOS. Die Installation ist einfach und von jedem durchführbar der des Lesens mächtig ist, dank genauer Beschreibung der einzelnen Schritte.
Mit iOS werde ich nie einen Schutz der Privatsphäre erhalten. Backups werden unverschlüsselt gespeichert und iOS sendet genauso wie Android alle 3-5 Minuten Logg-Daten nach Hause, darin ist das komplette Nutzerverhalten enthalten. Auch Apple hatte durch unsichtbare Pixel den kompletten Mailverkehr überwacht. Unter Android hab ich Möglichkeiten ein solches Verhalten zu verhindern, unter iOS nicht.
@Bloodsaw Nach 3 Jahren ist Schluss bei Apple mit den Updates? Du hast absolut keine Ahnung. Aber wirklich null.
iOS 15 wird das iPhone 6s weiterhin unterstützen, welches 2015 auf den Markt kam. 6 Jahre! Und wer weiß, vielleicht auch nächstes Jahr.
Du brauchst hier nicht von Android, iOS und Sicherheit reden, da du absolut null Ahnung von irgendetwas hast, denn iOS ist um Welten sicherer.
@Emre. Lass gut sein. Lies den Text nochmal. Er schrieb „da ist bei iOS seit 3 Jahren Schluss“…..
So unsicher ist Android auch nicht. Das Problem ist eher, dass viele Hersteller die monatlichen Sicherheitspatches nicht ausliefern oder nur alle paar Monate.
Ihr werft hier aber Privacy und Security durcheinander.
Privacy (Schutz der persönlichen Daten vorallem vor dem Hersteller und App Anbietern) ist bei iOS mit Sicherheit besser als bei jedem Stock Android Handy. Die Play Dienste auf einem Stock Android Gerät stecken so tief im System, dass Google quasi alle Infos sammeln kann, die es haben möchte.
Allerdings gibt’s bei Android auch die Möglichkeit sich ein Custom Rom komplett ohne Google zu nutzen. Das geht, weil Android Open Source ist. Nutze ich selber auf auch.
Security ist bei iOS so ne Sache. An sich gilt es als sehr sicher. Allerdings lässt sich das kaum prüfen, weil niemand Einblick in den Code hat (zumindest nicht ohne Jailbreak).
Bei Android hingegen ist der Code frei zugänglich und jeder kann ihn auf Bugs prüfen.
Auch hat Android in den letzten Jahren gute Fortschritte gemacht (Titan M Chip in den Pixeln, verified boot, etc….)
Dazu monatliche Sicherheitsupdates….
Unterm Strich würde ich ein Standard Android Gerät mit Google Diensten nicht nutzen. Da ist mir iOS einfach lieber. Mit Custom ROM kann Android aber durchaus sicherer sein als iOS.
Zu viele, MSantino. Und sogar, wenn Derlei auch auf Android-Geräten -vielleicht sogar auf mehr als IOS- geschähe: könnte das das Datenleck von IOS etwa rechtfertigen – auch nur irgendwie?? Wenn alle in die Mosel springen, MSantino:springst Du dann hinterher? Ja?? … … …
Ich habe iMessage nicht aktive bin ich dann sicher vor pegasus ?
Nein wie schon gesagt auch WhatsApp und Signal
Jeder regt sich über die iOS Lücken auf aber bei android is das schon normal ? haben die schon reagiert ?
Daher meckern auf hohen Niveau. Versteht ja nur keiner.
@theft du bist einfach nen Fanboy. Hängt Google riesige Plakate über den angeblichen Schutz der Privatsphäre unter Android auf oder wacht das Apple?
Apple macht Werbung mit der Privatsphäre, schützt diese jedoch nicht.
Ja, Android hat auch diese Sicherheitslücke, macht aber keine Werbung oder behauptet es schütze die Privatsphäre.
Wir sind hier auf einer Plattform welche vornehmlich iOS behandelt. Wieso sollten wir uns iOS Nutzer über Android aufregen? Dieses „schau, Android ist viel schlimmer“ ist einfach absolut unnötig – weil ich KEIN Android nutze und es mir folglich egal ist. Das sieht bei den Lücken im iOS anders aus, diese sind mir NICHT egal.
Ich bin immer wieder darüber verwundert, warum nicht eigentlich viel mehr und schlimmeres passiert. Wenn man sich anschaut, wie viele völlig veralteten Android Handys herumlaufen, mit denen die Leute auch online Banking machen etc., dann müssten eigentlich Millionen von Nutzern ausgeraubt werden. Aus irgendeinem Grund scheint dies nicht zu geschehen. Vielleicht ist es doch nicht so einfach, von außen Daten auf Geräte zu schicken.
Wenn man eine neue Webseite hat, dann tauchen schon nach wenigen Stunden Spam-Kommentare, Bots und Hacker auf. Handys scheinen als Angriffsziel nicht so geeignet zu sein.
Es wird nur einfach nicht veröffentlicht, wenn mal wieder hier und da paar tausend von der Bank gehoben werden. Erst bei sehr großen Angriffen oder Fällen werden die Medien aufmerksam
Kennst du irgend jemanden, dessen (Android) Smartphone kompromittiert wurde?
https://apps.apple.com/de/app/iverify-secure-your-phone/id1466120520
Damit könnt ihr auch überprüfen ob ihr Pegasus drauf habt/hattet. Als einfache Alternative zu Github.
Steht auch in den Release notes Version 20.0 „Check your device for Trails of Pegasus Software“
Das wage ich aber mal zu bezweifeln, dass eine Sandboxed App aus dem Store das System tatsächlich effektiv durchsuchen kann.
Einfache Lösung, das Bug-Bounty-Programm muss einfach folgendermaßen aussehen:
„Apple zahlt mehr für den sicherheitskritischen Bug als alle anderen“
„Das verschlossene System hindere diese daran, Apple bei der Suche nach Schwachstellen zu unterstützen.“
An anderer Stelle hilft es, das System sicherer zu machen.
Wie ihr schon schreibt, ein Angriff auf dieser Ebene wird niemals der breiten Masse widerfahren.
Zur Sicherheit von iOS muss man fragen, was man unter Sicherheit versteht. 100% Lückenlosigkeit? Die gibt es schlicht nicht. Nirgendwo. Was also kann man erwarten? Häufige Updates und langer Softwaresupport. In beiden sind die iOS-Geräte der Konkurrenz meilenweit voraus – Apple fixed relativ häufig und vor allem lange. das kommende iOS unterstützt immer noch das iPhone 6S – damit also 7(!) Jahre. Ist Apple diesbezüglich perfekt? Nein. Aber es gibt keine perfekte Lösung. Und dafür stellen sie sich meist schon ganz gut an.
Ist es nicht eine Frage des Aufwandes der betrieben wird? Wenn ich aus dem sichersten Gefängnis der Welt mit einem Aufwand mehrerer Millionen Dollar einen Insassen raushole, bleibt es dann nicht das sicherste Gefängnis der Welt, bzw. für die Allgemeinheit grundsätzlich sicher? So habe ich es zumindest verstanden. Ich muss Millionen ausgeben um gezielt einzelne Personen anzugreifen.
Um bei deinem Beispiel zu bleiben, was ich eigentlich ganz gut finde: Du musst Millionen ausgeben, hast dann aber eine Lösung um beliebig viele Leute auszuspionieren. Also nicht Millionen pro Person. Für Staaten ist das dank unserer Steuern natürlich kein Problem.
Was viele hier außer Acht lassen: Die Daten gehen nicht direkt an den Überwachenden, sondern über Server von NSO! Das heißt die Israelis haben den ganzen Kram auch gleich und machen damit was sie wollen.
Für jeden dem so in die Privatsphäre eingegriffen wurde, verändert sich das Leben für immer. Das wird oft heruntergspielt, ist aber so.
Ich frage mich nur, warum diese Marketingsprüche nicht kassiert werden. Wir treiben für unsere Produkte einen aberwitzigen Aufwand, damit das, was wir behaupten so substanziiert ist, dass es jedem juristischen Winkelzug stand hält. Vielleicht traut sich niemand Apple anzugreifen…?!!?
Das wird hier unten sicher keiner mehr lesen, aber ich muss das mal los werden:
Ich finde in diesem Zusammenhang die Cloud-Strategie von Apple besonders kritisch. Apple entfernt immer mehr lokale Features und „erfindet“ sie dann in der (amerikanischen) Cloud neu. Dadurch sollen die User in die Cloud gezwungen werden, und natürlich für mehr Cloud-Services zahlen. Die Geräte funktionieren ohne Cloud bald garnicht mehr. Dadurch wird aber das Angriffspotenzial immer größer.
Wenn man mehr lokale Funktionen bauen würde die keine Internetverbindung brauchen, was bei vielen Dingen kein Problem wär, dann kann man die Laufzeitumgebung auch super isolieren und sicherer machen.
Wenn ich mir die neuen Screensharing-Features mit iOS 15 ansehe, die natürlich durch die (amerikanische) Cloud gehen, tja was kann da schon schief gehen…
Ich liebe iOS zwar aber den Kurs den Apple da fährt mag ich nicht. Das ist ein riesen Vorteil bei Android….Es ist Open source.
Wer mal über den Tellerrand hinaus schauen möchte, kann mal nach CalyxOS und GrapheneOS googlen.
Stock Android ist Datenschutz technisch ein absoluter Alptraum….Das stimmt und ist nicht von der Hand zu weisen….Daher würde ich ein Stock Android Gerät auch nie mit einem iPhone vergleichen.
Da Android aber Open Source ist, hat jeder die Möglichkeit ein Custom Rom zu nutzen.
Calyx und Graphene sind komplett Google freie Android Varianten mit extremem Fokus auf Security und verified boot.
Hatte beide schon auf meinem Pixel 4 und war sehr begeistert. Ich bin und bleibe zwar iOS User aber da kann Apple sich ruhig mal was abschauen.
Warum diskutiert man über Sicherheitslücken die bereits seit fünf Jahren bzw. seit iOS 9.3.5 (iPhone 4S) geschlossen sind? Hängt das mit Veränderungen des Raum-Zeit Kontinuums zusammen?