Googles Project Zero hat aufgedeckt, dass iPhones nicht so wasserdicht geschützt sind, wie viele immer noch glauben. Mehrere kleinere Fehler addierten sich zu einer Exploit-Kette, die anscheinend schon intensiv ausgenutzt wurde. Von Tausenden Betroffenen ist die Rede.

Bei dem Anfang 2019 entdeckten Exploit genügte es, mit dem iPhone eine infizierte Website aufzurufen – schon installierte sich die Malware auf dem Gerät. Es ist der erste solche Drive-by-Exploit, der für iPhones bekannt wurde. Die Angriffe liefen anscheinend schon seit mindestens zwei Jahren. Es wurden fünf verschiedene Exploit-Ketten benutzt, die insgesamt zwölf unterschiedliche Sicherheitslücken ausnutzten. Die Angreifer konnten Nachrichten und Passwörter der Betroffenen auslesen und ihre Position per GPS verfolgen.

Google-Mitarbeiter Ian Beer, der den Angriff in seinem Blog beschreibt, geht zudem davon aus, dass bereits weitere ähnliche Angriffsmethoden existieren und aktiv ausgenutzt werden: “Neben dieser einen Kampagne, die wir gefunden haben, gibt es mit ziemlicher Sicherheit andere, die noch unentdeckt geblieben sind.”

Wegen der Schwere der Sicherheitslücke gab Google seinem Konkurrenten nur sieben Tage Zeit, diese zu schließen: Am 1. Februar 2019 unterrichtete Google den iPhone-Hersteller. Am 7. Februar wurde ein iOS-Update veröffentlicht, das die Lücke schloss.

Exploits für iOS sind selten und teuer. Man geht daher davon aus, dass sie relativ gezielt eingesetzt werden. Wie TechCrunch meldet.