Zusammenarbeit

Google: iOS war Jahre lang per Webseiten angreifbar

Google arbei­tete mit Apple zusammen, um gefähr­liche Sicher­heits­lücken in iOS zu schließen. Wie diese genau funk­tionierten, schil­dert das Unter­nehmen in einem Blog­beitrag.
Von

iOS 12.4 soll frei von Zero-Day-Exploits sein iOS 12.4 soll frei von Zero-Day-Exploits sein
Apple Google hat umfas­sende Infor­mationen über die iPhone-Atta­cken durch die Zero-Day-Sicher­heits­lücke veröf­fent­licht. Alle iOS-Versionen nied­riger als 12.4 sind fast durch­gängig gefährdet, ein Update eines veral­teten Betriebs­systems ist also drin­gend anzu­raten. Der Such­maschi­nenex­perte beschäf­tigt ein dedi­ziertes Soft­ware-Team namens Thread Analysis Group (TAG), um Schwach­stellen verschie­dener Platt­formen ausfindig zu machen. Googles Blog Project Zero berichtet über eine kleine Samm­lung von gehackten Inter­netseiten, die für wahl­lose Angriffe gegen entspre­chend unge­schützte iPhone-Nutzer verwendet wurden. Der reine Besuch einer betref­fenden Seite reichte bereits für eine Spio­nage durch Hacker aus.

iOS: Zero-Day-Proble­matik von Google analy­siert

iOS 12.4 soll frei von Zero-Day-Exploits sein iOS 12.4 soll frei von Zero-Day-Exploits sein
Apple Als Zero-Day-Sicher­heits­lücke werden Schwach­stellen bezeichnet, die bislang unbe­kannt waren und noch am selben Tag von Angrei­fern ausge­nutzt werden. Ein solcher Exploit kann bei den verschie­densten Betriebs­systemen auftreten, so etwa auch bei iOS. Vor rund drei Jahren infor­mierten wir bereits über die ersten Entde­ckungen der Zero-Day-Schwach­stellen von Apples Soft­ware. Doch erst vor kurzem, mit der Veröf­fent­lichung von iOS 12.4 am 22. Juli 2019, wurde diese Gefahr gänz­lich behoben. Google hat nun eine Analyse heraus­gegeben, welche die Vorge­hens­weise des Exploits beschreibt. Die fünf Exploit-Ketten inklusive Zeiträumen und Geräten Die fünf Exploit-Ketten inklusive Zeiträumen und Geräten
TAG / Google „Es gab keine bestimmte Ziel­gruppe, das einfache Besu­chen der gehackten Webseiten reichte aus, damit der Exploit-Server Ihr Gerät angreifen und bei Erfolg ein Über­wachungs-Implantat instal­lieren konnte.“, so Ian Beer von Project Zero. „Wir schätzen, dass diese Inter­netseiten Tausende von Besu­chern pro Woche errei­chen.“, konkre­tisierte er die Proble­matik.

Ausdau­ernde Hacker-Grup­pierung

TAG sammelte fünf sepa­rate, komplette und einzig­artige Exploit-Ketten, die sich über beinahe alle iOS-Versionen von iOS 10 bis iOS 12 erstre­cken. Daraus schluss­folgert das Team, dass sich eine Hacker-Grup­pierung nach­haltig bemühte, iPhone-Nutzer in bestimmten Gemein­schaften über einen Zeit­raum von mindes­tens zwei Jahren zu atta­ckieren. Google entdeckte insge­samt 14  Schwach­stellen inner­halb der fünf Exploit-Ketten. Darunter sieben im Safari-Webbrowser, fünf im Kernel und zwei sepa­rate Sandbox-Lücken. TAG reichte die Unter­suchungs­ergeb­nisse an Apple weiter, was zur Veröf­fent­lichung von iOS 12.1.4 führte. Mit diesem Release wurden die entdeckten Gefah­renstellen behoben. Um weitere Zero-Day-Exploits kümmerte sich Apple schließ­lich in iOS 12.4. Mit dieser oder einer höheren Version dürften iPhone- und iPad-User die best­mögliche Sicher­heit haben.

Mehr zum Thema Apple iOS