Sicherheit bei iOS: Jetzt bröckelt der Apple-Mythos
Die Sicherheitsfirma Kaspersky war vom "raffiniertesten Exploit aller Zeiten" betroffen. Der Fall zeigt, dass auch Apple-Betriebssysteme ihre Schwachstellen haben.
Auch Sicherheitsexperten sind nicht vor Cyberangriffen gefeit. Das zeigt ein Fall, der sich im vergangenen Jahr ereignete. Damals gelang es Angreifern, iPhones der Sicherheitsfirma Kaspersky zu kapern.
Die Kampagne nannte sich "Operation Triangulation". Kriminelle nutzten einen Exploit aus, der ihnen weitreichenden Zugriff auf die Handys der Kaspersky-Mitarbeiter ermöglichte. Sie installierten Schadsoftware auf den betroffenen Geräten, die unter anderem Fotos und Mikrofonaufnahmen an die Server der Angreifer übertrug.
Die Kampagne zog sich über vier Jahre, bis sie schließlich im Sommer 2023 aufflog. Kaspersky-Forscher Boris Larin sagte dem Portal "Ars Technica": "Wir haben mehr als dreißig Zero-Days in Produkten von Adobe, Apple. Google oder Microsoft entdeckt und gemeldet, aber dies ist definitiv die raffinierteste Angriffskette, die wir je gesehen haben."
Im Oktober desselben Jahres veröffentlichte Kaspersky einen langen Beitrag mit dem Titel: "Trügerische Sicherheit: Ist iOS wirklich sicherer als Android?" Die Sicherheitsexperten arbeiten darin den Angriff auf, der Kaspersky-Angestellte, aber offenbar auch Mitarbeiter diplomatischer Vertretungen und Botschaften in Russland, betraf.
PIN, Unterschrift, Betrug: Wer oft mit Karte zahlt, sollte diese Regeln kennen
iOS Beta
iOS 18 Beta #2
Mit iOS 18 steht ein neues iOS-Update für Entwickler zum Download bereit.
CHIP Bewertung: Gut zum Download
Sicherheitslücken auch bei Apple keine Seltenheit mehr
Das Fazit des Berichts ist eindeutig: Apples Betriebssystem iOS ist nicht so sicher, wie es scheint. Und das, obwohl sich der iPhone-Konzern seit Jahren für die Sicherheit seiner Produkte rühmt. Immer wieder ist die Rede vom geschlossenen Ökosystem, das kaum Angriffe von außen zulässt.
Auf der Support-Seite, auf die Apple auf CHIP-Anfrage verweist, heißt es zum Beispiel: "Die neuesten Versionen von Apple-Betriebssystemen bieten höchste Sicherheit." Unter anderem das sogenannte "secure boot" soll die Geräte des iPhone-Riesen besonders sicher machen.
Außerdem steht im Beitrag: "Subkomponenten wie der T2-Chip und die Secure Enclave führen auch eigene sichere Startprozesse aus, um sicherzustellen, dass nur vertrauenswürdiger Code von Apple ausgeführt wird."
Nach der Analyse der Cyberattacke richtete Kaspersky eigenen Angaben zufolge eine Mailbox ein, an die sich betroffene Nutzer wenden konnten. Das Angebot nahmen offenbar viele User wahr. Im Beitrag heißt es: "Glauben Sie uns – wir halten zielgerichtete Angriffe auf iPhones nicht mehr für Einzelfälle."
Anna Lena Fehlhaber, die als Sicherheitsforscherin an der Leibniz Universität Hannover doziert, sieht es ähnlich. "Ich habe sogar Pegasus-Spuren auf dem iPhone des Dönermanns um die Ecke gefunden", sagt sie zu CHIP und zeigt unserer Redaktion ein entsprechendes Protokoll. Sicherheitslücken, wie sie immer wieder im Zusammenhang mit Android diskutiert werden, sind ihrer Einschätzung nach auch bei Apple keine Seltenheit mehr.
"Es gibt einige Exploits, die Angreifern weitreichende Nutzungsrechte einräumen", so die Sicherheitsforscherin. Auch die Push-Benachrichtigungen von iPhones bergen ihr zufolge ein Risiko für die Privatsphäre. "Hier wurde sogar öffentlich zugegeben, dass sie mitgelesen werden können."
Apples Konzept: "Security by Obscurity"
Fehlhaber bezieht sich auf Berichte aus dem Dezember 2023. Ein Brief des US-Senators Ron Wyden an das US-Justizministerium zeigte, dass Regierungen offenbar über Push-Benachrichtigungen die Aktivitäten einiger Nutzer von Apple- und Google-Smartphones überwachen.
Der iPhone-Konzern stritt das nicht ab. Im Gegenteil: "Jetzt, da diese Methode öffentlich geworden ist, aktualisieren wir unsere Transparenzberichte, um diese Art von Anfragen detailliert darzustellen", hieß es in einer Stellungnahme.
Dass Apples iOS nicht so bombensicher ist, wie gerne behauptet wird, legt auch ein Blick auf den sogenannten Schwachstellenmarkt nahe, wo Sicherheitslücken an potenzielle Angreifer verkauft werden. Lange waren Apple-Exploits deutlich teurer als Android-Lücken.
Das ändert sich offenbar gerade. "Der Preis gleicht sich immer weiter an. Das ist insofern bezeichnend, als dass Android durch die Offenheit des Systems eigentlich viel mehr Angriffsvektoren bieten müsste", sagt Fehlhaber.
Die Forscherin erklärt Apples Sicherheitskonzept mit drei Worten: "Security by Obscurity". Das bedeutet übersetzt so viel wie: "Sicherheit durch Unklarheit". Apples geschlossenes Ökosystem ist für Experten von außen nicht zugänglich. Bevor Anwendungen in den App Store kommen, durchlaufen sie strenge Kontrollprozesse.
Zu schön, um wahr zu sein: Fallen Sie nicht auf diese Job-Angebote herein
Fehlhaber: "Open-Source-Systeme werden sicherer"
Das macht es einerseits schwieriger, Lücken zu finden. Andererseits können bestehende Exploits einzig von Apple geschlossen werden. Im schlimmsten Fall verzögern sich wichtige Fixes.
Apple selbst schreibt auf CHIP-Anfrage, die hauseigenen Sicherheitsteams seien stets auf der Suche nach Fehlern. Außerdem würde Apples Software konstant mit den neuesten Schutzvorkehrungen und Sicherheitspatches versehen.
Während der iPhone-Konzern seinen Quellcode streng unter Verschluss hält, ist Android - der mobile Betriebssystem-Konkurrent - Open Source, also frei zugänglich.
Das kann zwar dazu führen, dass leichter Sicherheitslücken gefunden und ausgenutzt werden. Andererseits birgt Open Source auch eine große Chance: Jeder, der möchte, kann dabei helfen, Exploits zu finden und Sicherheitslücken zu schließen.
Manchmal setzen die Hersteller sogar Preisgelder aus, um Exploits ausfindig zu machen. Fehlhaber sagt: "Open-Source-Systeme werden im Laufe der Zeit durch das Mehraugenprinzip eher sicherer."
Gefährlicher Ein-Cent-Trick: Darum sollten Verbraucher sofort reagieren
Atug: Geheimdienste und Überwachung von Privatpersonen
Manuel Atug, der seit mehr als 30 Jahren in der Informationssicherheit und dem Schutz kritischer Infrastrukturen als Berater und Prüfer arbeitet, sagt im Gespräch mit CHIP: "Open Source kann von Vorteil sein. Aber es muss eben auch Personen geben, die sich überhaupt die Mühe machen, den Quellcode auf Schwachstellen zu checken."
Mit Blick auf Android und iOS und die Frage, welches Betriebssystem nun sicherer ist, bringt der Fachmann noch einen anderen Aspekt ins Spiel.
"Egal, welches Betriebssystem jemand nutzt, er kann sich nicht vor staatlichen Akteuren und Geheimdiensten absichern. Wenn jemand als Ziel ausgewählt wurde, dann kann er sich kaum vor Staatstrojanern und anderer Überwachung schützen", sagt Atug. Oft ist zwar die Rede von "hochwertigen" Zielen, also Oppositionellen, Journalisten, Regierungsmitgliedern, Unternehmensbossen.
Aber: "Nicht nur solche Personen werden von Geheimdiensten und kriminell agierenden Akteuren überwacht. Zum Teil sind es auch 'ganz normale Leute'." Atug spricht darüber hinaus von "Kollateralschäden" - also Personen, die selbst nicht überwacht werden, aber Kontakt zu "Ausgespähten" haben.
In solchen Fällen, so erklärt es der Sicherheitsexperte, spielt das mobile Betriebssystem kaum eine Rolle. "Es gibt sowohl bei Android als auch bei iOS Sicherheitslücken. Und die nutzen nicht nur Kleinkriminelle, sondern eben auch Vollprofis aus."
Mythos vom unknackbaren iPhone ist widerlegt
Was Schadsoftware und Überwachung angeht, sieht Atug bei Privatnutzern trotz allem das größte Problem in persönlichen Fehden und Überfürsorge.
Sei es, weil eine Frau das Gefühl hat, ihr Ehemann würde sie betrügen, und deswegen Spionage-Apps auf dessen Handy installiert. Oder, weil Eltern unbedingt wissen wollen, wo sich ihr Kind aufhält, und infolgedessen Tracking-Anwendungen auf dessen Smartphone laden.
"In solchen Fällen ist in der Regel der physische Zugriff aufs Gerät gegeben. Dann ist es auch nicht mehr so wichtig, ob es sich um ein iPhone oder ein Android-Gerät handelt", sagt Atug.
Letztlich gilt also: Weder Apple- noch Android-Smartphones sind unknackbar. Schon gar nicht, wenn Nutzer ins Visier von Geheimdiensten oder anderen Behörden geraten. Der Mythos vom unknackbaren iPhone ist am Ende genau das: ein Mythos.
iPhone-Vergleich: Die besten Modelle im Test
Dieser Artikel kann Partnerlinks enthalten, von denen Yahoo und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.