computerwoche.de

Mobile & Apps

iPhone-Hacks und -Jailbreaks im Kontext betrachtet

Apple iOS ist (nicht) offen wie ein Scheunentor

Kommentar  10.09.2019
Von   
Mark Zimmermann leitet hauptberuflich das Center of Excellence (CoE mobile) zur mobilen Lösungsentwicklung bei der EnBW Energie Baden-Württemberg AG in Karlsruhe. Er weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Der Autor versteht es, seine Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Neben seiner hauptberuflichen Tätigkeiten ist er Autor zahlreicher Artikel in Fachmagazinen.
Alle Posts des Autors Email:
Aktuelle iOS-Exploits wie der Jailbreak von Version 12.4 lassen an der Sicherheit von Apples Betriebssystem zweifeln. Erfahren Sie, wie kritisch die Lücken tatsächlich waren.

Jailbreak - iOS 12.4

Normalerweise richten sich die meisten iOS-Jailbreaks auf zurückliegende Versionen des iPhone-Betriebssystems, zudem soll der Anreiz für Verbraucher, ihr Gerät zu knacken, mit der zunehmenden Funktionsvielfalt des iPhone nachgelassen haben. Damit sind Jailbreaks hauptsächlich für immer kleiner werdende Spezialgruppen - wie beispielsweise Sicherheitsforscher - interessant. Am 19. August 2019 wurde jedoch ein Jailbreak für iOS 12.4 veröffentlicht, also ein Hack, der seit langem eine sehr aktuelle Version von iOS unterstützt. Allerdings darf hier nicht vergessen werden, dass Apple die zugrundeliegende Schwachstelle eine Woche vor dessen Veröffentlichung mit iOS 12.4.1 behoben hat.

Anstatt in Panik zu verfallen, sollten iPhone-Nutzer ihr Gerät durch Updates auf dem neuesten Stand halten.
Anstatt in Panik zu verfallen, sollten iPhone-Nutzer ihr Gerät durch Updates auf dem neuesten Stand halten.
Foto: Vitius Cangiulli - shutterstock.com

Es ist nicht das erste Mal, dass kurzfristig Patches verteilt werden, um eine neu entdeckte Sicherheitslücke zu schließen. Egal, ob iOS, Android, Windows oder Linux etc.: Jedes Betriebssystem ist "unsicher" und "sicher" zugleich. Die Frage ist, wie schnell Schwachstellen im Code erkannt und geschlossen werden.

Meldungen von Projekt Zero

Am 29. August veröffentlichten das Project Zero Team und die Threat Analytics Group (TAG) von Google ihre Erkenntnisse zu einem viel umfassenderen Angriff auf iOS-Geräte in der freier Wildbahn: Eine "kleine Sammlung" von gehackten Websites seien über zwei Jahre lang missbraucht worden, um Spyware auf iOS-Geräten von Tausende von Besuchern pro Woche aufzuspielen. Die Spyware war laut Project Zero zu vielen "gefährlichen" und "unangenehmen" Funktionen in der Lage. Mit ihr ließen sich diverse persönliche Daten anzeigen:

  • unverschlüsselte Datenbanken von Messengern (etwa Apple iMessage);

  • der Geräte-Schlüsselbund einschließlich Passwörtern und Zertifikaten;

  • Standort, Fotos und Kontakte des Nutzers;

  • E-Mails in der iOS-Mail-App und in Apps von Drittanbietern.

So dramatisch sich dies alles anhört - die Schwachstellen wurden bereits im Februar von Apple behoben mit iOS 12.1.4 - eine Woche nach dem Hinweis des Project Zero Teams.

Der Kontext zur Bewertung

Alle der entdeckten Schwachstellen haben die Eigenschaft, dass sie "gezielt" eingesetzt werden müssen. Es handelt sich um einen Angreifer-Typ, bei dem Geld keine Rolle spielt, um einen erfolgreichen Angriff auf einzelne Menschen oder Menschengruppen auszuüben. Berichten zum aktuellen Fall zufolge wollte die chinesische Regierung mit diesen Sicherheitslücken auf manipulierten Webseiten gezielt die Uigurische Minderheit angreifen. Für die chinesische Regierung sollen die blutigen Unruhen vom Juli 2009 ein Grund sein, die Repressionen in der Uiguren-Region Xinjiang zu erhöhen. Seitdem ist der Konflikt ist weiter eskaliert. Die betroffenen gehackten Websites wurden laut Google über einen Zeitraum von zwei Jahren genutzt und dabei mehrere tausend Mal pro Woche - hauptsächlich von der Uigurischen Community - besucht.

Trotz dieser unschönen Umstände und der möglichen Konsequenzen für die Nutzer muss man die Menge der betroffenen Geräte im Gesamtkontext von mehr als 900 Millionen iOS-Devices betrachten. Zudem ist auch die Dauer der Attacke strittig: Laut Apple betraf der Zeitraum keine zwei Jahre, sondern die Schwachstelle wurde nur ungefähr zwei Monate ausgenutzt. Innerhalb von zehn Tagen nach Bekanntwerden der Sicherheitslücke hatte Apple damals sogar einen Patch mit iOS 12.1.4 veröffentlicht.

Über die Webseiten wurden nicht nur iOS-Geräte, sondern auch Android- und Windows-Systeme aktiv angegriffen. Im Gegensatz zu iOS, wo diese Lücke bereits im Februar mit iOS 12.1.4 behoben wurde, habe ich im Netz keine Aussagen zu Patches für die anderen Plattformen gefunden.

Während Staaten und andere Organisationen ein "Gegner" sind, gegen den man sich schwer schützen kann, sieht es im "allgemeinen" Bereich der (Klein-)Kriminellen weitergehend anders aus. Im Business-Umfeld etwa sind kompromittierte E-Mail-Konten, Anmeldedaten sowie Phishing von Zugangsdaten für die meisten Unternehmen immer noch ein größeres Problem als mobile Malware. Anstatt in Panik zu verfallen, gilt es daher, das Verhalten der Geräte, die zugrundeliegenden Konfigurationen und der Patch-Stand stets im Blick zu behalten. Sobald eine Schwachstelle bekannt wird, sollten Unternehmen (ebenso wie Privatpersonen) gebotene Updates nutzen. Diese nicht zu nutzen oder gar zu ignorieren, setzt Daten und Geräte einem unnötigen Risiko aus.

Fazit

iOS ist nicht unsicherer geworden. Allerdings ist neben Apple auch die IT-Abteilung im Unternehmen gefordert und sollte Richtlinien für Patches und Betriebssystemversionen festlegen. Konfigurationen sollten überprüft und die Nachrichtenlage im Auge behalten werden.

Apple verbringt mit iOS keine Wunder und es gibt sicherlich Schwachstellen im System. Aber auch bei Apple sind Experten in den Produktsicherheitsteams auf der ganzen Welt stetig bei der Arbeit, um Patches für entdeckte Schwachstellen zu veröffentlichen - für so viele Geräte wie möglich.