: Sicherheitslücke der Premium-Klasse bei Apple

von Peter Welchering
19.08.2022 | 11:24 Uhr
Gleich zwei massive Sicherheitslücken machen Apple-Geräte unsicher. Geheimdienste nutzen Schwachstellen dieser Art für Spionage. Es gibt aber inzwischen Sicherheits-Updates.
Wer sich auf seinem Apple-Gerät eine Webseite anschaut, läuft derzeit Gefahr, Schadsoftware auf sein iPhone, iPad oder seinen Computer zu holen, wodurch Hacker potenziell die totale Kontrolle über die Geräte übernehmen könnten. Auch ansonsten harmlose Webseiten können betroffen sein, erläuterte ein Sprecher der IT-Sicherheitsfirma Sophos.

Update für Apple-Geräte

Betroffen sind laut Apple die iPhones 6s und spätere Modelle, etliche iPad-Modelle, darunter jene der 5. Generation und spätere, alle iPad-Pro-Modelle und das iPad Air 2, sowie Mac-Computer mit MacOS Monterey. Außerdem auch einige iPod-Modelle.
Apple hat schon Software-Updates bereitgestellt, mit denen beide Sicherheitslücken geschlossen werden können. Allerdings müssen Apple-Anwender diese Software-Updates eigens herunterladen und installieren. Das geschieht bisher nicht automatisch. Die aktuellen Betriebssystem-Versionen sind iOS 15.6.1 beim iPhone und iPadOS 15.6.1 bei den Tablets sowie macOS Monterey 12.5.1 bei Apples Computern.

Offene Tür für Schadsoftware

Die erste der beiden festgestellten Schwachstellen hat ein Sicherheitsforscher in der Webkit-Software von Apple gefunden. Die Webkit-Software sorgt dafür, dass Inhalte von Webseiten im Browser dargestellt werden. Bei iPhones und iPads nutzen alle installierten Browser diese Webkit-Software. Ist auf einer Website Schadsoftware hinterlegt, so lässt die Sicherheitslücke in der Webkit-Software den Schadcode in das System.
So kann Spionagesoftware installiert werden, die sämtliche auf dem Gerät gespeicherte Daten ausliest und an einen Sammelserver verschickt. Sogar Ransomware, mit der die Daten des Geräts dann verschlüsselt werden, kann auf diese Weise auf Smartphone, Tablet oder Computer gelangen.

Direkt ins Herz des Betriebssystems

Die Schwachstelle der Webkit-Software hat die sicherheitsamtliche Bezeichnung CVE-2022-32893 erhalten. Daraus wird ersichtlich, dass diese Sicherheitslücke vor der zweiten von Apple bekanntgegebenen Schwachstelle mit der Bezeichnung CVE-2022-32894 entdeckt wurde, die im Betriebssystemkern gefunden wurde.
Angreifer, die diese Sicherheitslücke direkt im Betriebssystem ausnutzen, können das gesamte System übernehmen. Es kann ausspioniert werden, so dass alle dort gespeicherten Daten ausgelesen werden.
Es kann aber auch als Angriffsgerät in einem Bot-Netzwerk verwendet werden, um verteilte Überlastattacken auf andere Server zu fahren. Die Bandbreite der Schadsoftware, die darüber ausgeführt werden kann, ist relativ groß.
Israelische Sicherheitsspezialisten haben darauf hingewiesen, dass derartige Sicherheitslücken vor allen Dingen von Geheimdiensten verwendet werden. Sie werden dann in erster Linie für Spionage- und Überwachungszwecke genutzt.

Sehr teure Sicherheitslücken

Ein großer Teil der marktüblichen Überwachungssoftware nutzt strukturell ähnliche Sicherheitslücken wie die jetzt von Apple bekanntgegebenen aus. Diese Lücken sind deshalb sehr nachgefragt und werden für hohe sechsstellige Dollarbeträge gehandelt.
Sicherheitslücken dieser Art sind auch durch unzureichend oder gar nicht abgesicherte Schnittstellen mit verursacht. Darauf hat kürzlich Adam Fisher, Direktor Security Engineering beim IT-Sicherheitsunternehmen Salt Security hingewiesen.

Schnittstellensicherheit wird unterschätzt

Das Problem dabei: Betriebssystemsoftware, aber auch Dienstprogramme wie Webkits werden aus einzelnen Modulen zusammengesetzt. Die einzelnen Module tauschen ihre Daten über Schnittstellen aus. Dabei wird oftmals unzureichend darauf geachtet, welche Daten über welche Schnittstellen ausgetauscht werden und in welche Module sie gelangen können.
Kommt es bei der Integration dieser Module zu Fehlern wie Misskonfiguration oder unzureichender Implementierung von Sicherheitsregeln entstehen genau solche strukturellen Sicherheitslücken wie die jetzt bei Apple gefundenen.

Warum die zeitnahe Installation von Updates wichtig ist

Angebotene Updates auf Smartphone, Tablet oder Computer später installieren? "Auf keinen Fall", warnt das Bundesamt für Sicherheit in der Informationstechnik auf seiner Website - und weist auf Gefahren hin, die dadurch entstehen können, dass Updates nicht zeitnah und regelmäßig installiert werden.

Update später installieren? 5 Gefahren

  1. Nicht aktualisierte Software macht es Kriminellen einfacher, Geräte mit Schadsoftware zu infizieren und an sensible Daten und Informationen zu gelangen.
  2. Schadsoftware kann sensible Daten auf Computer, Tablet und Smartphone stehlen, manipulieren oder vernichten.
  3. Schadsoftware-Befall kann die Leistung des Geräts deutlich beeinträchtigen und sogar für einen Totalausfall des Systems sorgen.
  4. Durch Sicherheitslücken können Kriminelle die Zugangsdaten zu (Online-)Accounts stehlen und digitale Identitäten für Betrügereien nutzen.
  5. Kriminelle nutzen nicht geschlossene Fehler und Lücken im System, um zum Beispiel Konto- und Kreditkartendaten auszuspähen und diese für Bestellungen zu missbrauchen.

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Quelle: mit Material von AP, dpa

Thema

Mehr digitale Themen