Google-Bericht über Exploits: Apple äussert sich zur iOS-Sicherheit
Vor einer Woche hat Googles Sicherheitsteam «Project Zero» Details über eine Malware-Attacke offengelegt, mit welchen durch gehakte Webseiten per Exploit-Chains iPhone mit Schadcode infiltriert wurden. Nun hat Apple in einer Stellungnahme die von Google aufgestellten Behauptungen teils relativiert.
Die Exploit-Chains nutzten Google zufolge Schwachstellen in Safari und im iOS-Kernel sowie mehrere Sandbox-Escapes aus. Die Geräte der Nutzer wurden kompromittiert, indem sie einfach nur entsprechende Webseiten angesurft haben. Durch die Attacken erhielten die Angreifer Project Zero zufolge Zugriff auf die Nachrichten aus WhatsApp und iMessage, das Adressbuch sowie Inhalte von Apps wie Telegram, Skype, Facebook, Outlook und verschiedenen anderen Apps. Betroffen seien über zwei-einhalb Jahre hinweg Nutzer von iOS 10, iOS 11 und iOS 12 gewesen. Seit dem September 2016 konnte Google fünf verschiedene Exploit-Chains ausmachen. Nachdem das Sicherheitsteam Apple im Frühjahr über die Lücken informiert hatte, schloss Apple die Schwachstellen mit iOS 12.1.4 zeitnah am 7. Februar.
Nun hat sich Apple über die Offenlegungen von Project Zero geäussert. Demnach sei das Ausmass des Vorfalls kleiner gewesen, als es Google behaupte. Es soll sich nicht um «Massen-Exploits» gehandelt haben, sondern um einen «eng fokussierten Angriff» von «weniger als ein Dutzend Webseiten», die sich auf Inhalte aus der uigurischen Gemeinschaft beschränkten. Trotzdem, so versichert Apple, nehme man die Sache unabhängig von dessen Ausmass sehr ernst.
Googles Blog-Artikel erwecke jedoch einen «falschen Eindruck» dieser Exploits. Das Unternehmen habe damit bei allen iPhone-Nutzern die Angst geschürt, dass ihre Geräte kompromittiert wurden – was Apple zufolge aber nicht der Fall war. Apples Informationen zufolge dauerten die Angriffe ausserdem nur zwei Monate und nicht wie von Project Zero kommuniziert über zwei Jahre. Kaum wurde Apple über die Schwachstellen informiert, habe Apple diese «extrem schnell» behoben. Man habe bereits an der Behebung der Lücken gearbeitet, als Google Apple kontaktiert habe.
Nicht erwähnt wurde weder im Blog-Artikel von Google noch in der Stellungnahme von Apple, dass von dieser Attacke auf die uigurische Gemeinschaft nicht nur iOS-Geräte betroffen waren, sondern das dieser wahrscheinlich von China aus orchestrierte Hack auch Windows- und Android-Nutzer kompromittierte.
Der Fakt, dass Apple im Statement nichts über «China» verlauten liess, stösst auf Kritik. Ebenso die Tatsache, dass Apple mit der Stellungnahme einen Partner harrsch kritisiert – Googles «Project Zero» hatte über die vergangenen Jahre über 200 Sicherheitslücken in Apples Produkten entdeckt und sie an den Mac-Hersteller gemeldet.
Von Stefan Rechsteiner
Veröffentlicht am
Ab CHF 5.– im Monat
👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.