0-Days auf Webseiten spionierten iPhones über Jahre aus
MSI RTX SUPER STEAM Bundle

0-Days auf Webseiten spionierten iPhones über Jahre aus

Meldung von doelf, Freitag der 30.08.2019, 12:04:29 Uhr

Google hat einen umfassenden Angriff auf Apples iPhones dokumentiert, der offenbar über Jahre völlig unbemerkt lief. Laut Ian Beer von Googles Project Zero hatten die Angreifer mehrere Webseiten unter ihre Kontrolle gebracht und diese derart manipuliert, dass iPhones beim Aufruf einer solche Seite völlig unbemerkt übernommen wurden.

Ein Universalwerkzeug zum iPhone-Hack
Googles "Threat Analysis Group" (TAG) war Anfang 2019 über eine kleine Zahl gehackter Webseiten gestolpert, die völlig unbemerkt ein Überwachungs-Implantat auf die iPhones der Besucher schleusten. Hierfür wurden 14 Sicherheitslücken zu fünf Exploit-Ketten kombiniert, welche die Schutzvorkehrungen praktisch jeder Version von iOS 10 bis 12 überwinden konnten. Zumindest eine dieser Exploit-Ketten nutzte hierfür zuvor unbekannte Sicherheitslücken, sogenannte 0-Days (CVE-2019-7287 und CVE-2019-7286). Die Angreifer hätten dabei iPhone-Nutzer aus bestimmten Bevölkerungsgruppen im Visier gehabt und ihre Angriffe über einen Zeitraum von mindestens zwei Jahren durchgeführt. Dies deutet auf staatliche Urheber hin.

Die Opfer wurden ausspioniert und überwacht
Sieben der Sicherheitslücken steckten im Webbrowser der iPhones und fünf im iOS-Kernel. Dazu kamen zwei Möglichkeiten, aus der abgesicherten Sandbox auszubrechen. Das Ziel dieser Angriffe war die Ausweitung von Rechten, um die iPhones der Zielpersonen zu überwachen und persönliche Daten abzugreifen. Das Implantat kopierte Fotos sowie Kontaktlisten und konnte auf die Kommunikation über Whatsapp, Telegram, iMessage, Gmail und Google Hangouts zugreifen. Die eigentlich sichere Ende-zu-Ende-Verschlüsselung der Messenger-Apps wurde hierbei umgangen. Auch der Aufenthaltsort der Opfer wurde per GPS in Echtzeit erfasst und an die Server der Angreifer übermittelt. Die einzige positive Nachricht: Der Schadcode konnte sich nicht dauerhaft auf den Telefonen einnisten und ging beim Neustart verloren.

Offenbar unzureichende Qualitätskontrollen
Als Hauptursachen für die 14 Sicherheitslücken sieht Ian Beers Programmcode, der nie richtig funktioniert hatte und in der Software vergessen wurde, sowie fehlende bzw. unzureichende Qualitätstests. Apple wurde am 1. Februar 2019 von TAG informiert und bekam aufgrund der Tragweite dieser Sicherheitslücken nur sieben Tage Zeit für eine Reaktion. Als Folge dieses Zeitdrucks wurde iOS 12.1.4 am 7. Februar außer der Reihe veröffentlicht. Die beschriebenen Schwachstellen sind seither geschlossen, doch Beers ist sich sicher, dass Googles TAG nur die Spitze eines Eisbergs entdeckt hat.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]