Foto: DER SPIEGEL
Patrick Beuth

iPhone-Sicherheit Apples Liste des Bösen

Patrick Beuth
Ein Netzwelt-Newsletter von Patrick Beuth

Liebe Leserin, lieber Leser,

ich möchte Ihnen diese Woche ein Dokument näherbringen, wie es sich viele von Ihnen zu Recht noch nie angesehen haben. Es hat weniger Bilder als ein Newsletter, Zwischenüberschriften wie »libxml2« und steckt voller mäßig elektrisierender Sätze wie »Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben«. Aber Sie müssen es gar nicht komplett durchlesen, geschweige denn verstehen, um seinen Kern zu erfassen: Apple kämpft gegen die Bösen und verliert manchmal.

Die Vorgeschichte: Als Amnesty International am 18. Juli einen IT-forensischen Bericht  über den Einsatz der NSO-Überwachungssoftware Pegasus veröffentlichte, stand in der Einleitung: »Zuletzt, im Juli 2021, wurde ein erfolgreicher Zero-Click-Angriff gegen ein iPhone mit allen Sicherheitsupdates und iOS 14.6 beobachtet, der mehrere bisher unbekannte Schwachstellen ausnutzte«.

Laientauglich übersetzt wurde das weiter unten im Bericht dann mit der Vermutung, »dass die Kunden der NSO Group derzeit in der Lage sind, alle modernen iPhones und alle Versionen von iOS zu kompromittieren«. Und zwar aus der Ferne und ohne, dass die Opfer irgendetwas öffnen oder anklicken müssen. Zero-Click eben. Apple sei darüber informiert worden, versicherte Amnesty.

Am nächsten Tag (und damit zehn Tage nach der Betaversion) veröffentlichte das Unternehmen ein Update für sein iPhone-Betriebssystem, die Version 14.7, inklusive einiger Sicherheitsupdates. Am 21. Juli folgten die Details dazu, überschrieben mit »Informationen zum Sicherheitsinhalt von iOS 14.7 und iPadOS 14.7« . Das ist das Dokument, von dem ich eingangs sprach.

Das Erste, das einem darin auffällt: Die Liste der mit iOS 14.7 behobenen Schwachstellen ist erstaunlich lang. Ebenfalls bemerkenswert ist, wie viele der Schwachstellen die »Ausführung willkürlichen Codes« ermöglichen, wie Apple es ausdrückt. Gleich 17, in Worten: siebzehn Sicherheitslücken erlauben es Dritten unter Umständen, einen beliebigen Schadcode auf dem iPhone seiner Opfer zu starten. 17 Mal geht es dabei laut Apple um »böse Absichten«.

»Let's explore iPhone 12« könnte auch ein Motto der NSO Group sein

»Let's explore iPhone 12« könnte auch ein Motto der NSO Group sein

Foto:

LUCY NICHOLSON / REUTERS

Das muss ich erst einmal einordnen. In einem Fall braucht der böse Angreifer physischen Zugriff auf das iPhone. In einem anderen muss sich das Opfer in ein manipuliertes WLAN einwählen. Und »Ausführung willkürlichen Codes« klingt zwar nach »mach, was du willst«, sagt aber noch nichts darüber aus, wie weit ein Angreifer damit käme. Stellen Sie sich iOS wie einen Hindernisparcours für Hacker vor, mit Trennwänden, die nicht jeder überwinden kann.

Es ist auch nicht klar, ob die erkannten Sicherheitslücken zur klammheimlichen Infektion mit Pegasus führen konnten, und wenn ja, welche davon. Apple hat das bisher nicht klargestellt. Ich habe Costin Raiu, den Forschungschef von Kaspersky Labs, um seine Einschätzung gebeten, auch er bleibt fürs Erste vorsichtig. In einer E-Mail schrieb er mir, es gebe »im Moment keinen Hinweis, dass iOS 14.7 jene Schwachstellen behebt, die zur Installation von Pegasus ausgenutzt wurden«.

Aber einige der beschriebenen Lücken seien besonders interessant, »weil sie so großes Missbrauchspotenzial haben«. Im Dokument finden Sie drei davon, wenn Sie nur nach dem Satz »Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen« suchen. Das sind genau die Schwachstellen, »die für Zero-Click-Angriffe genutzt werden könnten«, sagt Raiu. Was er meint: Der Hack eines iPhones besteht darin, dem Opfer ein manipuliertes Foto zu schicken, das es gar nicht erst sieht.

Böse Absicht kann in vielen Dateiformaten stecken

Schauen Sie einfach mal, was laut dem Dokument alles »in böser Absicht« erstellt werden kann. Da steht etwas von PDF-Dateien, Audiodateien oder auch Inhalten von Internetseiten. Und dann steht da auch, was solche Dateien anrichten. Manche können »bestimmte Datenschutzeinstellungen umgehen«, andere können Benutzerinformationen offenlegen oder »möglicherweise Speicherinhalte preisgeben«. Die Liste lässt sich fortsetzen. Wer das Dokument liest, fragt sich schon ein wenig, ob im Internet eigentlich noch irgendetwas angeklickt werden darf.

Die Moral von dem Bericht: Apple mag nicht einmal zu Unrecht behaupten, Sicherheitsforscherinnen und -forscher seien sich »einig, dass iPhones die sichersten Endgeräte auf dem Markt sind«. Unhackbar sind sie keineswegs.

Der Kryptografie-Experte Matthew Green hat Apple schon einige Vorschläge  gemacht, wie sich iOS weiter härten ließe. Allerdings laufen die darauf hinaus, dass große Teile des Codes komplett umgeschrieben werden müssten. Das könnte zu Fehlfunktionen im Alltagsgebrauch führen und würde vor allem viel Geld kosten, schreibt Green. Aber er hoffe, dass Apples zuständiger Sicherheitschefs Ivan Krstić »morgen aufwacht und seinen Bossen sagt, dass er die NSO Group in den Bankrott treiben will, und dass die Bosse dann antworten ›Bestens, hier ist ein Blankoscheck‹«.

Fremdlinks: drei Tipps aus anderen Medien

  • »›Paula Tinder‹ hat jetzt Kinder?«  (3 Leseminuten)
    Jan Stremmel von der »Süddeutschen Zeitung« hat ein neues Morgenritual: Er schaut zu, was »Jens Ebay Bügeleisen« und »Raffaella Airbnb Neapel« so machen. Denn weil er WhatsApp irgendwann einmal den Zugriff auf sein Adressbuch gestattet hat, kann er automatisch die WhatsApp-Stories sehen, die jene Menschen posten, mit denen er irgendwann mal in Kontakt stand.

  • »How TikTok's Algorithm Figures Out Your Deepest Desires«  (Video, Englisch, 13 Minuten)
    Wie funktioniert der sagenumwobene Empfehlungsalgorithmus von TikTok, das Herzstück des Erfolgs der App? Und wohin führt er die Nutzerinnen und Nutzer? Das »Wall Street Journal« hat das untersucht und erklärt es anschaulich.

  • »This Chat is Being Recorded: Egregor Ransomware Negotiations Uncovered«  (Englisch, 6 Leseminuten)
    Egregor war bis Februar 2021 eine umtriebige Ransomware-Gruppe. Sicherheitsspezialisten von IBM haben nun Chats zwischen den Kriminellen und ihren Opfern ausgewertet, um den Ablauf von Lösegeldverhandlungen zu veranschaulichen. Wer zum Beispiel behauptete, zu wenig Geld zu haben, wurde aufgefordert, zum Beweis seine Steuerunterlagen zu schicken.

Ich wünsche Ihnen eine sonnige Woche!

Patrick Beuth

Die Wiedergabe wurde unterbrochen.