Genossen iPhones lange einen hervorragenden Ruf in Sicherheitsfragen, so hat dieses Bild zuletzt deutlichen Schaden genommen. Immer wieder gab es grundlegende Kritik von Sicherheitsforschern, gleichzeitig gaben die Preise, die bei einschlägigen Firmen für unbekannte Lücken in Apples Betriebssystem angeboten werden, nach – angesichts eines Überangebots in dieser Hinsicht.

Dies führte auch zu der lange unvorstellbaren Situation, dass mittlerweile für unbekannte Lücken, die zu einer vollständigen Übernahme von Android genutzt werden können, mehr bezahlt wird als für entsprechende iOS-Bugs. Auch dass diverse mit Geheimdiensten und Polizeibehörden zusammenarbeitende Firmen damit prahlen, dass sie jedes aktuelle iPhone knacken können, ist eine nicht sonderlich beruhigende Information.

Zero Days

Insofern kommt eine aktuelle Mitteilung von Apple nicht ganz überraschend: Mit dem Update auf iOS 14.4 schließt Apple gleich drei bislang unbekannte Sicherheitslücken, die mit einem unerfreulichen Zusatz versehen sind: Sie dürften bereits aktiv ausgenutzt worden sein. Es handelt sich also um sogenannte Zero Days. Apple dürfte darüber von externen Sicherheitsforschern informiert worden sein.

Bei den Details gibt sich der Hersteller derzeit noch zurückhaltend, aber auch aus den vorliegenden Informationen lässt sich schließen, dass es sich in Summe um eine vollständige Exploit-Kette handelt. Also Lücken, die in Kombination zur kompletten Übernahme eines iPhones oder iPads genutzt werden hätten können – und zwar ohne Interaktion der Nutzer.

Wenige Details

Konkret spricht Apple von zwei Lücken in der eigenen Rendering Engine Webkit, die zur Ausführung von Schadcode hätte ausgenutzt werden können. Webkit ist ein besonders lohnender Angriffsvektor, bildet dieses unter iOS doch die Grundlage für die Darstellung sämtlicher Web-Inhalte – und zwar unabhängig davon, welchen Browser man verwendet, und auch in allen Apps.

Dazu kommt noch ein Bug im Kernel von iOS und iPadOS, mit dem sich ein Angreifer erhöhte Rechte hätte verschaffen können. In der Kombination einer der Webkit-Lücken mit dem Kernel-Bug hätte also ein Angreifer wohl über eine manipulierte Webseite Schadcode auf ein Gerät einschmuggeln und dieses übernehmen können.

Ausblick

Gegenüber "Techcrunch" verspricht Apple, dass man noch weitere Informationen liefern will. Offenbar will man also noch zuwarten, bis die neue Version etwas weiter verbreitet ist. Für Benutzer von iPhones und iPads bedeutet dies jedenfalls, dass sie ihre Geräte dringend updaten sollten, spätestens wenn alle Details bekannt sind, könnten Angriffe rasch zunehmen. Betroffen sind offenbar so ziemlich alle iPhones und iPads. Die Kernel-Lücke findet sich zudem in watchOS und tvOS.

Vorgeschichte

Es ist nicht das erste Mal, dass Apple Zero-Day-Lücken ausräumen muss. Für einige Schlagzeilen sorgte eine Warnung von Google im Jahr 2019, bei der es um eine Reihe von Webseiten ging, die über einen längeren Zeitraum zur Übernahme von iPhones genutzt wurden. Hinter dem Angriff soll eine Spionagekampagne der chinesischen Regierung gegen die muslimische Minderheit der Uiguren gestanden sein. Apple reagierte damals verärgert und versuchte den Bericht herunterzuspielen, womit man erst recht wieder viele Sicherheitsforscher gegen sich aufbrachte. Erst vor wenigen Wochen wurde dann bekannt, dass sich auf den Geräten von Dutzenden Journalisten Spionagesoftware der Firma NSO Group fand, die zuvor unbekannte iOS-Lücken als Einbruchsweg genutzt hat. (apo, 27.1.2021)