Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Natalie Silvanovich und ihre Kollegen bei Googles Project Zero haben mehrere Lücken in iOS aufgespürt. Bild: twitter / natashenka

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Googles Sicherheitsteam hat ein halbes Dutzend Fehler im iPhone-Betriebssystem offengelegt. Mehrere davon sind kritisch. Malware-Hersteller und Geheimdienste zahlen Millionen für solche Lücken.



Googles Sicherheitsforscher haben insgesamt sechs neue Schwachstellen in iOS entdeckt. Die Lücken wurden Apple von einer Sicherheitsforscherin und einem Sicherheitsforscher von Googles Project Zero gemeldet. Apple hat letzte Woche fünf dieser Schwachstellen mit dem Update auf iOS 12.4 geschlossen, eine Lücke bleibt aber vorerst bestehen.

Inzwischen sind einige Details zu den teils schwerwiegenden Fehlern bekannt: Mehrere der Sicherheitsprobleme betreffen Apples Chat-App iMessage und sind laut Google «interaktionslos». Das heisst: «Angreifer können sie mittels Versand einer iMessage ausnutzen, ohne dass ein Nutzer mehr tun müsste, als diese anzeigen zu lassen», erklärt das Techportal Heise.

Aufgrund der Programmierfehler in iMessage könnten Angreifer Daten vom iPhone oder iPad auslesen oder bösartigen Code ausführen, der ihnen die Kontrolle über das Gerät gibt. Dazu reicht es aus, dass der Nutzer sich eine entsprechende Nachricht ansieht.

Die Fehler in iOS sind unterschiedlich kritisch, doch in einem Fall ist die Schwachstelle laut der Sicherheitsforscherin so schwerwiegend, dass der einzige Weg, ein gehacktes iPhone zu retten, darin bestehe, alle Daten davon zu löschen.

Falls nicht schon getan, solltest du jetzt updaten

Da die renommierten Bug-Jäger von Googles Project Zero nun fünf der sechs Lücken veröffentlicht haben, wird iPhone-Nutzern dringend empfohlen, das aktuelle Sicherheitsupdate (iOS 12.4) so schnell wie möglich zu installieren. Der sechste Fehler, der ebenfalls mit einer manipulierten Textnachricht ausgenutzt werden kann, wird von den Google-Sicherheitsforschern noch privat behandelt. Er soll erst veröffentlicht werden, wenn auch diese Lücke mit einem weiteren iOS-Update geschlossen wird.

Malware-Hersteller und Geheimdienste zahlen Millionen für solche Lücken

Das Techportal ZDNet, das zuerst über die gravierenden Lücken berichtet hat, macht darauf aufmerksam, dass die von Google an Apple gemeldeten Lücken auf dem Schwarzmarkt wohl über fünf Millionen Franken wert gewesen wären. «Die entdeckten Bugs gelten in der Malware- und Geheimdienst-Szene als besonders wertvoll, weil sie so einfach und geräuschlos auszunutzen sind», schreibt Heise.

Fakt ist: Staatliche Akteure, Hersteller von Hacking-Tools und Kriminelle bezahlen inzwischen Hunderttausende von Franken für unbekannte Sicherheitslücken in populären Betriebssystemen wie iOS, Android und Windows. Ob Apple die Sicherheitsforscher für das Melden der Fehler finanziell belohnt hat, wie es in der Branche üblich ist, ist nicht bekannt.

Das Glück für uns Nutzer: Die Google-Mitarbeiter dürften sehr gut bezahlt sein und insofern wenig Drang verspüren, gefundene Lücken auf dem Schwarzmarkt zu verkaufen. Andere IT-Cracks haben diesbezüglich weniger Skrupel. Was wir in solchen Fällen also nie genau wissen: Waren die nun entdeckten Lücken anderen Akteuren längst bekannt?

Sicherheitsforscherin will Details an Hacker-Konferenz verraten

Details zu den Sicherheitslücken will Googles Sicherheitsforscherin Natalie Silvanovich nächste Woche auf der Black-Hat-Hackerkonferenz in Las Vegas mitteilen. Laut der Kurzzusammenfassung ihres Referats wird sie dabei über potenzielle Schwachstellen in iOS-Diensten und -Apps wie SMS, MMS, Visual Voicemail, iMessage und Mail sprechen.

Silvanovich ist Mitglied des Project-Zero-Teams und hat schon mehrfach Sicherheitsprobleme in Apple-Software aufgespürt. Ende 2018 meldete sie einen Fehler in Apples Videotelefonie-App Facetime, der es Kriminellen ermöglicht hätte, allein durch einen Videoanruf das iPhone, iPad oder den Mac der Opfer abstürzen zu lassen.

Das Project-Zero-Team wurde 2014 gegründet. Es hat in den letzten Jahren zahlreiche Lücken in der Software von Microsoft, Samsung, Facebook, Apple und anderen Firmen gefunden. Umgekehrt unterhalten auch die anderen Techkonzerne Sicherheitsteams, die wiederholt Lücken bei Google gefunden haben.

Schwachstelle erinnert an Facetime-Bug

Anfang 2019 hatte sich wie ein Lauffeuer verbreitet, dass ein Programmierfehler in Facetime Anrufern ermöglicht, schon vor dem Abheben beim Angerufenen mitzuhören und diesen (unter Umständen) über die Frontkamera zu beobachten. Apple hat darauf die Funktion, die für Telefonkonferenzen gedacht ist, zwischenzeitlich komplett offline genommen.

Erst diesen Monat wurde bekannt, dass Nutzer der Computeruhr Apple Watch offenbar unerwünscht mittels iPhone belauscht werden konnten. Der iPhone-Konzern hielt das Problem laut Heise für «derart akut, dass er die komplette Walkie-Talkie-Funktion der Apple Watch, die sich ausnutzen liess, serverseitig deaktiviert hatte». Auch dieses Problem wurde mit einem Update behoben.

Die 10 wertvollsten Unternehmen der Welt

So würde es aussehen, wenn wir am Telefon ehrlich wären

Play Icon

Das könnte dich auch interessieren:

Warum wir bald wieder über den Schweizer Pass reden werden

Link zum Artikel

«Ich hatte Sex mit dem Ex meiner besten Freundin…»

Link zum Artikel

Die amerikanische Agentin, die Frankreichs Résistance aufbaute

Link zum Artikel

Matheproblem um die Zahl 42 geknackt

Link zum Artikel

Wie gut kennst du dich in der Schweiz aus? Diese 11 Rätsel zeigen es dir

Link zum Artikel

«In der Schweiz gibt es zu viel Old Money und zu wenig Smart Money»

Link zum Artikel

So schneiden die Politiker im Franz-Test ab – wärst du besser?

Link zum Artikel

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

35
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
35Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • _kokolorix 31.07.2019 18:52
    Highlight Highlight Das Design der iMessage App scheint grundsätzlich unsicher zu sein. Wenn der Nachrichteninhalt interpretiert und dadurch Aktionen im Betriebssystem ausgelöst werden ist das ein Sack Flöhe der nie und nimmer sicher sein kann. Wenn es ein Pufferüberlauf ist, ist es höchst peinlich und zeugt nicht gerade von guter Codequalität
    • Loeffel 01.08.2019 18:52
      Highlight Highlight Mit dem Sack Flöhe hast du Recht. Aber Pufferüberlauff? Das klingt eher nach 2002 ... heutige Programmiersprachen kennen doch dieses Problem gar nicht mehr, oder?
    • _kokolorix 01.08.2019 20:17
      Highlight Highlight Hast du eine Ahnung! Heutige Programmiersprachen wie Java, Swift oder C# bieten zwar einen einigermassen sicheren Umgang mit Zeichenketten, aber deren Laufzeitumgebung ist meist in C implementiert und deren Fehler pflanzen sich ins übergeordnete System fort. Ausserdem reicht es häufig, die TCP oder UDP Datenlängen zu manipulieren um die in C geschriebenen Netzwerkstacks in die Irre zu führen. Schwieriger ohne Insiderkentnisse ist es, daraus mehr als einen Programmabsturz zu machen. Aber so einen Bug zu verkaufen ist richtig lukrativ, wenn du die richtigen Leute kennst...
  • Scaros_2 31.07.2019 16:33
    Highlight Highlight Falls nicht schon getan, solltest du jetzt updaten

    Ich habe mich in stochastik damals immer gefragt, wie gross die Wahrscheinlichkeit ist das ich trotz "nicht updaten" schlussendlich davon betroffen bin?

    Z.b. bei dieser iMessage sache. Wenn ich diesen Dienst nicht nutze. Ist es dann notwendig?
  • SamTwise 31.07.2019 16:18
    Highlight Highlight Als ob jetzt Google, Apple & Co sich nicht auch auf dem Schwarzmarkt umsehen und einfach alles aufkaufen, was da an Sicherheitslücken feilsch geboten wird. 🤫
    • Sarkasmusdetektor 02.08.2019 08:45
      Highlight Highlight Das würden sie vielleicht sogar machen, wenn sie es denn mitbekommen würden. Abgesehen vielleicht von den dümmsten Kriminellen werden solche Lücken ja nicht einfach öffentlich ausgeschrieben, sondern direkt an die potenziellen Interessenten gemeldet.
  • My Senf 31.07.2019 14:50
    Highlight Highlight Und bei den Mac 💻 gibt es einen öffentlichen Rückruf!
    Wenn wir schon bei der Apple Bad news Abteilung sind
    Benutzer Bild
    • Flügu 31.07.2019 16:13
      Highlight Highlight Warum aber "bad news"? Die Betroffenen erhalten für ein 3-4 Jahre altes Gerät kostenlos einen neuen Akku :)
      Und im übrigen ist das keine "news" mehr, da der Rückruf bereits am 20.6.2019 kommuniziert wurde.
    • My Senf 31.07.2019 18:19
      Highlight Highlight War eine Anspielung auf ostpol76
  • Gipfeligeist 31.07.2019 14:38
    Highlight Highlight Ist "Project Zero" eine Abteilung für Datensicherheit oder für PR? 🤔

    Auf jeden Fall machen sie einen guten Job!
  • ostpol76 31.07.2019 14:01
    Highlight Highlight Dieser Beitrag wurde gelöscht. Bitte formuliere deine Kritik sachlich und beachte die Kommentarregeln.
    • Oliver Wietlisbach 31.07.2019 14:14
      Highlight Highlight Der Kommentar, auf den du Bezug nimmst, wurde bereits entfernt.
    • Ueli der Knecht 31.07.2019 14:39
      Highlight Highlight Der Kommentar, auf den du Bezug nimmst, wurde bereits entfernt.
  • Ueli der Knecht 31.07.2019 13:57
    Highlight Highlight "Die Google-Mitarbeiter dürften sehr gut bezahlt sein und insofern wenig Drang verspüren, gefundene Lücken auf dem Schwarzmarkt zu verkaufen. Andere IT-Cracks haben diesbezüglich weniger Skrupel. Was wir in solchen Fällen also nie genau wissen: Waren die nun entdeckten Lücken anderen Akteuren längst bekannt?"

    Die grösste Verlockung besteht für diejenigen, welche die Software programmieren. Die Programmierer sind das grössten Risiko.

    Geheimdienste haben keine grossen Schwierigkeiten, solche Insider zu finden und einzuspannen, bzw. zu kaufen, zu erpressen oder sonstwie zu "motivieren".
    • Supermonkey 31.07.2019 14:51
      Highlight Highlight Zum Glück sind das ja nicht einzelne Programmierer welche Betriebssysteme schreiben. Und irgendwer muss ja auch den Code überprüfen und testen. Von demher ist Deine Laienhafte Aussage völliger Nonsens.
    • Ueli der Knecht 31.07.2019 15:29
      Highlight Highlight Offensichtlich hast du es noch nicht so miterlebt, wie heutzutage in grossen Betrieben (wie zB. bei Boeing oder VW) Code reviewed, getested und sogar zertifiziert wird, Supermonkey.

      "Von demher ist Deine Laienhafte Aussage völliger Nonsens."
    • Supermonkey 31.07.2019 16:43
      Highlight Highlight @Ueli der Knecht Ich erlebe solche Sachen täglich und lese und missinterpretiere es nicht nur aus Zeitungsberichten...
    Weitere Antworten anzeigen
  • Thomas Oetjen 31.07.2019 12:39
    Highlight Highlight Also, wenn ihr iMessages liest, macht einfach die Augen zu.

    Im Artikel steht, das Betrachten der Nachricht reicht aus.
  • infomann 31.07.2019 12:23
    Highlight Highlight Das gibt es bei Apple doch nicht...
    Lach und auch ein bisschen Schadenfreude ist schon dabei.
    • RASL 31.07.2019 12:47
      Highlight Highlight Wieso? Verstehe ich nicht.
    • DocShi 31.07.2019 13:22
      Highlight Highlight Rasl, weil Apple und deren Jünger immer in der Vergangenheit betonten wie sicher doch Apple Produkte doch seien etc.
      Dabei sind die Zeiten seit IPhone 2 schon lange vorbei. Vorher stimmte es da Macs nicht so lohnenswert waren für Hacker weil nicht so verbreitet.
    • Jaklar 31.07.2019 13:39
      Highlight Highlight Im vergleich mit anderen systemen fährt man mit apple aber immer noch viel viel sicher. Solche lücken gibts bei apple ab und zu. Bei andern ist das tägliches brot.
    Weitere Antworten anzeigen

Diese wichtige Handy-Funktion kann dein Leben retten – 68% der Schweizer kennen sie nicht

Zwei Drittel der Schweizer haben keine Ahnung, wie man rasch per Tastenkombination mit dem Handy einen Notruf absendet. Die internationale Notrufnummer kennen rund 40 Prozent nicht. Damit gefährden sie ihre eigene Rettung und die Rettung anderer.

Smartphones von Apple, Samsung, Huawei, etc. können über eine vom Handy-Hersteller eingerichtete Tastenkombination einen Notruf absetzen. Wer sich in einer Notsituation befindet und die Notrufnummer nicht wählen kann oder sich – beispielsweise im Schockzustand – nicht daran erinnert, kann so trotzdem jederzeit Hilfe rufen.Das Problem: 68 Prozent der Schweizer wissen nicht, wie man auch bei gesperrtem Handy schnell per Tastenkombination einen Notruf absendet. Gar nur eine von fünf …

Artikel lesen
Link zum Artikel