iOS-Sicherheitslücke: Apple reagiert auf Vorwürfe seitens Google
Apple reagiert auf die Vorwürfe seitens Google, das zuvor bekanntgab, im Rahmen seines Project-Zero-Programms eine schwerwiegende Sicherheitslücke in iOS entdeckt zu haben. Diese habe mutmaßlichen staatlichen Hackern erlaubt, zwei Jahre lang massenhaft Smartphones und Tablets mit iOS zu überwachen.
iPhone & Co. wurden laut Google zwei Jahre lang ausspioniert
Ende August veröffentlichte Google auf seinem Project Zero Blog eine Bekanntmachung mit dem Titel „A very deep dive into iOS Exploit chains found in the wild“ und machte darin auf schwerwiegende Sicherheitslücken in Apples mobilem Betriebssystem aufmerksam. Demnach hätten unbekannte Angreifer diese Sicherheitslücken seit mehr als zwei Jahren ausnutzen können, um Menschen im großen Maße auszuspionieren.
Google's Threat Analysis Group (TAG) was able to collect five separate, complete and unique iPhone exploit chains, covering almost every version from iOS 10 through to the latest version of iOS 12. This indicated a group making a sustained effort to hack the users of iPhones in certain communities over a period of at least two years.
Ian Beer, Google Project Zero
Laut Google habe dazu ausgereicht, bestimmte Webseiten zu besuchen, um sich mit der Spyware zu infizieren. Die Spyware selbst hatte vermeintlich eine konkrete Zielgruppe im Auge, so die Google-Forscher. Welche Gruppe, dazu schweigt sich der Project Zero Report allerdings aus. Die infizierten Seiten sollen tausende von Besuchern wöchentlich gehabt haben.
Wie tagesschau.de mutmaßt, waren chinesische Dissidenten ein mögliches Ziel der Angriffe. Das Nachrichtenmagazin zitiert zudem den Apple-Insider Thomas Reed von der Sicherheitsfirma Malwarebytes, der von einer nie dagewesenen Größenordnung spricht. Weiter spricht Forbes auch von Android und Windows als Ziel der Angriffe.
So etwas haben wir in dieser Größenordnung noch nie gesehen. Es gab zwar immer wieder gezielte Angriffe auf einzelne Personen. Und nur, wer ein so genanntes gejailbreaktes iPhones benutzte, hat sich bisher verwundbar gemacht. Der jetzige Fall ist aber einzigartig, weil noch nie solch eine große Gruppe von Menschen angegriffen wurde, die alle eine Website besucht haben.
Thomas Reed, Malwarebytes
Apple relativiert die Vorwürfe und wirft Google Panikmache vor
Mittlerweile fühlte sich Apple dazu gezwungen, zu den massiven Vorwürfen Stellung zu beziehen. Dies ist grundsätzlich ungewöhnlich, da Apple nur selten mit so klaren Worten Stellung bezieht. Darin relativiert das Unternehmen die Vorwürfe und wirft Google Panikmache vor. In diesem Jahr, in dem Apple während der CES 2019 in der Nähe des Messegeländes groß mit der Sicherheit des iPhones warb, mehrten sich die öffentlich gewordenen Schwachstellen. Dazu zählte eine große Lücke in FaceTime oder der Walkie-Talkie-Funktion.
Es habe sich keineswegs um einen Massenangriff auf alle iPhones gehandelt, teilte Apple mit. Vielmehr sei es eine eng begrenzte Attacke gewesen, die sich gegen die Minderheit der chinesischen Uiguren konzentrierte. Weniger als ein Dutzend Websites hätten die Malware eingeschleust. In der Erklärung von Apple heißt es weiter, dass die Veröffentlichungen im Project Zero Report, sechs Monate nachdem Apple selbst ein Sicherheitsupdate herausgebracht hat, den Eindruck einer massenhaften Überwachung der Bevölkerung erwecke. Dies sei aber laut Apple niemals der Fall gewesen.
Die Sicherheitslücken hätten darüber hinaus auch nur über einen Zeitraum von zwei Monaten ausgenutzt werden können und nicht über zwei Jahre, wie Google fälschlicherweise behaupten würde. Das Unternehmen habe schon an einer Behebung des Problems gearbeitet, bevor Google auf sie zugekommen sei, so Apple weiter.
Google bleibt bei seiner Aussage
Googles Sicherheitsforscher der Threat Analysis Group (TAG) haben bereits auf Apples Statement reagiert und bleiben weiterhin bei ihren Aussagen. Die Entwickler freuen sich aber mit Apple zusammenzuarbeiten und iOS zukünftig zu einem sicheren Betriebssystem zu machen, so der vorerst letzte Seitenhieb von Google in Richtung Apple.
Thomas Reed von Malwarebytes hat auch dazu eine klare Meinung und wirft Apple vor, das Problem zu verharmlosen. Der Apple- und Sicherheitsexperte wünscht sich, dass das Unternehmen zukünftig offener und transparenter mit der Sicherheits-Community umgeht.