HOME

Fotos, Chats und Passwörter gestohlen: Sicherheits-Desaster: Zwei Jahre lang knackten Hacker iPhones – per Website-Besuch

Apples iPhone gilt als sehr sicher. Eine neue Entdeckung könnte diesen Ruf erheblich beschädigen: Bösartige Webseiten kaperten durch den reinen Besuch iPhones und griffen dann Bilder, SMS und Passwörter ab. Die Kampagne lief mindestens zwei Jahre völlig unentdeckt.

iPhone: eine junge Frau schaut auf ihr Smartphone

Die Nutzer bekamen von dem Angriff auf ihr iPhone gar nichts mit (Symbolbild)

Getty Images

Es ist der Albtraum jedes Internet-Nutzers: Man besucht eine Webseite - und schon haben Hacker vollen Zugriff auf das Gerät, können dann auch die sensibelsten Daten abgreifen. Für eine unbekannte Zahl von iPhone-Nutzern ist dieser Albtraum Wirklichkeit geworden: Mindestens zwei Jahre lang schnüffelten Hacker ihre Geräte aus. Ohne dass die Nutzer davon etwas ahnten.

Durch Zufall entdeckte man eine Reihe von Webseiten, die für den Angriff auf iPhones präpariert waren, berichtet die zu Google gehörenden Hackergruppe Project Zero in einem Blogpost. Der reine Besuch der speziell präparierten Webseiten reichte aus, um den die Angreifer höchste Nutzerrechten ("root") zu verschaffen. Dann konnten sie eigene Spionage-Programme installieren und Daten abgreifen. Neben Bildern, Nachrichten und dem Live-Standort war demnach auch der Passwort-Speicher des iPhones betroffen. Die Besitzer des iPhones bekamen davon nichts mit. 

iPhone-Sicherheitslücke jahrelang unentdeckt

Für die Übernahme nutzten die Angreifer nicht nur eine, sondern gleich fünf verschiedene bisher unbekannte Methoden, die Sicherheitsmaßnahmen zu umgehen. Mit diesen Methoden ließen sich fast alle iOS-Versionen von iOS 10 bis zum aktuellen iOS 12 knacken. Die Experten von Project Zero gehen daher von einem konzentrierten Vorgehen einer Gruppe vor, die seit mindestens zwei Jahren iPhones zum Ziel hat. Die Webseiten haben laut ihren Schätzungen mehrere Tausend Besuche pro Woche. Das würde gut 100.000 Betroffene in diesem Zeitraum bedeuten.

Einen gezielten Angriff auf einzelne Personen sehen die Experten indes nicht. Die Hacker hätten willkürlich jedes Gerät geknackt, das die Seiten besucht, so der Blogpost. Dieser Schluss macht stutzig. Einzelne Sicherheitslücken beim iPhone sind auf dem Schwarzmarkt schnell Millionen Euro wert. Die Hacker hatten gleich ein gutes Dutzend von ihnen für fünf hochkomplexe Angriffe verwendet. Beim richtigen Käufer wären hier sicher höhere Summen zu holen gewesen, als mit willkürlichen Angriffen.

Ein denkbares Szenario: Die Hack-Server wurden genutzt, um einige hochkarätige Ziele dorthin zu locken und so Zugriff auf die Geräte zu bekommen. Denkbar wären etwa Zielpersonen aus Politik und Wirtschaft. Die anderen Besucher der Seiten wären dann Zufallsopfer gewesen. Ein Vorteil dieser Strategie: Das Auffliegen der Webseite lässt keine Schlüsse auf ihr Ziel zu. So, wie es nun auch geschehen ist.

So sollten Sie vorgehen

Ob man vom Hack betroffen ist, können Nutzer nicht nachvollziehen. Die guten Nachrichten: Der Hack überlebte einen Neustart nicht - die betroffenen iPhones sind also nicht dauerhaft in der Hand der Hacker. Und: Mit dem Update auf iOS 12.1.4 wurde die Lücke bereits im Februar geschlossen. Wer sein iPhone und iPad aktuell hält, ist also längst vor den bekannten Angriffsmethoden sicher.

Für Apple ist die Nachricht trotzdem ein Problem. Das iPhone galt jahrelang im Vergleich zu Android-Geräten als geradezu unknackbar. Dass nun nicht eine sondern gleich fünf Methoden bekannt werden, die volle Kontrolle zu übernehmen, dürfte an diesem Image mächtig kratzen. Apple selbst hat sich bislang nicht dazu geäußert, Presse-Anfragen wurde abgelehnt. Zumindest die Reaktion auf die Enthüllung macht aber Hoffnung: Von Googles erster Meldung des Problems bis zum Schließen der Lücke verging noch nicht einmal eine Woche.

Quelle: Project Zero