Login- & Registrieren-Schnellzugang

Passwort vergessen?

Google-Bericht über Exploits: Apple äussert sich zur iOS-Sicherheit

Veröffentlicht am Montag, 09. September 2019, um 06:14 Uhr von Stefan Rechsteiner

Vor einer Woche hat Googles Sicherheitsteam «Project Zero» Details über eine Malware-Attacke offengelegt, mit welchen durch gehakte Webseiten per Exploit-Chains iPhone mit Schadcode infiltriert wurden. Nun hat Apple in einer Stellungnahme die von Google aufgestellten Behauptungen teils relativiert.

Die Exploit-Chains nutzten Google zufolge Schwachstellen in Safari und im iOS-Kernel sowie mehrere Sandbox-Escapes aus. Die Geräte der Nutzer wurden kompromittiert, indem sie einfach nur entsprechende Webseiten angesurft haben. Durch die Attacken erhielten die Angreifer Project Zero zufolge Zugriff auf die Nachrichten aus WhatsApp und iMessage, das Adressbuch sowie Inhalte von Apps wie Telegram, Skype, Facebook, Outlook und verschiedenen anderen Apps. Betroffen seien über zwei-einhalb Jahre hinweg Nutzer von iOS 10, iOS 11 und iOS 12 gewesen. Seit dem September 2016 konnte Google fünf verschiedene Exploit-Chains ausmachen. Nachdem das Sicherheitsteam Apple im Frühjahr über die Lücken informiert hatte, schloss Apple die Schwachstellen mit iOS 12.1.4 zeitnah am 7. Februar.

Nun hat sich Apple über die Offenlegungen von Project Zero geäussert. Demnach sei das Ausmass des Vorfalls kleiner gewesen, als es Google behaupte. Es soll sich nicht um «Massen-Exploits» gehandelt haben, sondern um einen «eng fokussierten Angriff» von «weniger als ein Dutzend Webseiten», die sich auf Inhalte aus der uigurischen Gemeinschaft beschränkten. Trotzdem, so versichert Apple, nehme man die Sache unabhängig von dessen Ausmass sehr ernst.

Googles Blog-Artikel erwecke jedoch einen «falschen Eindruck» dieser Exploits. Das Unternehmen habe damit bei allen iPhone-Nutzern die Angst geschürt, dass ihre Geräte kompromittiert wurden – was Apple zufolge aber nicht der Fall war. Apples Informationen zufolge dauerten die Angriffe ausserdem nur zwei Monate und nicht wie von Project Zero kommuniziert über zwei Jahre. Kaum wurde Apple über die Schwachstellen informiert, habe Apple diese «extrem schnell» behoben. Man habe bereits an der Behebung der Lücken gearbeitet, als Google Apple kontaktiert habe.

Nicht erwähnt wurde weder im Blog-Artikel von Google noch in der Stellungnahme von Apple, dass von dieser Attacke auf die uigurische Gemeinschaft nicht nur iOS-Geräte betroffen waren, sondern das dieser wahrscheinlich von China aus orchestrierte Hack auch Windows- und Android-Nutzer kompromittierte.

Der Fakt, dass Apple im Statement nichts über «China» verlauten liess, stösst auf Kritik. Ebenso die Tatsache, dass Apple mit der Stellungnahme einen Partner harrsch kritisiert – Googles «Project Zero» hatte über die vergangenen Jahre über 200 Sicherheitslücken in Apples Produkten entdeckt und sie an den Mac-Hersteller gemeldet.

Kategorie: Apple
Tags: Android, Apple, China, Google Project Zero, iOS, Malware, Sicherheit, Sicherheitslücke, Uiguren, Webseiten, Windows

macprime sucht Verstärkung!

Wir haben Grosses vor und möchten dazu unsere Redaktion erweitern.

Zur Verstärkung für unser kleines Team suchen wir deshalb am besten per Sofort folgende Unterstützung:

News-Redaktor/in

Möchtest du Teil des «Team macprime» werden? Dann melde dich bei uns.
Ausführliche Details zu den Aufgabenbereichen und Anforderungen finden sich in der Stellenausschreibung.

Noch keine Kommentare

Anmelden um Kommentar zu verfassen

Allegra Leser! Nur angemeldete Leser können bei diesem Inhalt einen Kommentar schreiben. Jetzt kostenlos registrieren oder mit bestehendem Benutzerprofil anmelden.