Sicherheitsforscher: Modifizierte Webseiten konnten jahrelang iPhone-Nutzer ausspähen

Googles „Project Zero“-Team hat sich dem Auffinden von schwerwiegenden Sicherheitslücken verschrieben. Im Rahmen dieser Tätigkeit wurden Anfang dieses Jahres offenbar mehrere Webseiten gefunden, die über Jahre hinweg gezielt iPhone-Nutzer ausgespäht haben. Insgesamt 14 schwerwiegende Sicherheitslücken kamen dabei zutage. Mindestens eine dieser Lücken war zum Zeitpunkt ihrer Entdeckung noch nicht bei Apple bekannt. Das Google-Team hat Apple hier zu Jahresbeginn auf den Sachverhalt hingewiesen und eine siebentägige Frist gesetzt, mit iOS 12.1.4 wurde der Fehler Anfang Februar dann behoben.

Die insgesamt 14 von Google entdeckten Angriffsszenarien erstreckten sich über den Zeitraum von September 2016 bis Anfang 2019. Offenbar hatten die Hacker dabei keine konkrete Zielgruppe vor Augen, sondern über Webseiten, die wöchentlich mehreren Tausend Aufrufe verzeichneten, eine breit gestreute Attacke gefahren. Ziel waren dabei nahezu alle Versionen von iOS 10 bis iOS 12.

Die Angreifer konnten dabei offenbar teils hochsensible Informationen erlangen. Laut der Google-Analyse lag dabei ein Fokus auf dem Diebstahl von Dateien. Zu den kompromittierten Dateien gehören der iOS-Schlüsselbund und beispielsweise die Datenbanken von Messenger-Apps wie iMessage, WhatsApp oder Telegram, die Foto-Sammlung oder Kontaktliste auf dem iPhone. Auch ein Live-Tracking anhand der Ortsdaten sei möglich gewesen. Die Malware habe alle 60 Sekunden Befehle von einem externen Server erhalten und konnte dementsprechend flexibel gesteuert werden.

Chat-Inhalte und Login-Daten ausgelesen

Auf die Inhalte des Schlüsselbunds und Nachrichten aus den Messenger-Apps konnten die Hacker direkt auf dem manipulierten Gerät zugreifen und auf diese Weise auch die für die Übertragung der Nachrichten standardmäßige Ende-zu-Ende-Verschlüsselung übergehen. Sämtliche so erlangten Inhalte wurde dann wiederum unverschlüsselt an die Server der Angreifer geschickt. Mithilfe der aus dem Schlüsselbund ausgelesenen Login-Daten und Anmelde-Tokens war es dann auch möglich, auf Online-Konten der betroffenen Nutzer zuzugreifen, das Google-Team demonstrierte dies am Beispiel einer Anmeldung bei einem Google-Konto.

Risiko solcher Angriffe besteht immer

Als Resümee halten die Google-Entwickler eine allgemein gehaltene Warnung für die Nutzer moderner Technologien bereit:

Nutzer treffen Risikoentscheidungen basierend auf der öffentlichen Wahrnehmung zur Sicherheit dieser Geräte. Die Realität sieht so aus, dass Sicherheitsmaßnahmen niemals das Risiko eines Angriffs ausschließen, sofern man sich im Ziel der Angreifer befindet. Dabei kann es schon genügen, dass man in einer bestimmten geografischen Region geboren oder Teil einer bestimmten ethnischen Gruppe ist. Alles, was Benutzer tun können, ist sich der Tatsache bewusst zu sein, dass die Gefahr solcher Massenangriffe stets besteht und man sich dementsprechend verhalten sollte. Behandeln Sie Ihre mobilen Geräte als integralen Bestandteil ihres modernen Lebens, aber sehen Sie darin auch Geräte, die im Falle einer Kompromittierung jede ihrer Aktionen in eine Datenbank laden können, von wo sie möglicherweise gegen sie verwendet werden.

Die Google-Forscher haben keine Angaben zu den Webseiten gemacht, die den Angriffen zugrunde lagen. Die aufgedeckten Fehler sind mittlerweile behoben, wie gesagt gibt es aber keine Garantie dafür, dass mittlerweile nicht neue, vergleichbare Schwachstellen im Umlauf sind. So banal es klingt: vielleicht sollte man auch einfach sein iPhone öfter mal ausschalten und neu starten, denn zumindest die oben beschriebenen Malware-Installationen wurde allesamt durch einen Neustart der Geräte wieder deaktiviert.