Gravierende Sicherheitslücken in Apples iPhone und dem Betriebssystem iOS sind selten. So selten, dass ihre Entdeckung und Offenlegung ein lukratives Geschäft sein kann: Drei Millionen US-Dollar bot ein Start-up aus Dubai im April für einen sogenannten Zero-Day-Exploit in iOS. So heißen einzelne Sicherheitslücken, oder noch besser ganze Ketten von Schwachstellen, die den Herstellern von Hard- und Software selbst noch nicht bekannt sind und die sie deshalb noch nicht beheben konnten.

Die Hersteller wissen von diesen Geschäften und versuchen, sie zu unterbinden – indem sie selbst ebenfalls hohe Summen für Hinweise auf Sicherheitslücken bieten. Apple etwa bezahlt inzwischen bis zu einer Million US-Dollar für entsprechende Tipps.

Googles Hacking-Abteilung Project Zero kann sich nun möglicherweise über eine solche Summe, in jedem Fall aber über Anerkennung freuen. Forscherinnen und Forscher des Unternehmens entdeckten zu Beginn des Jahres nämlich gleich mehrere Schwachstellen in Apples Betriebssystem iOS, darunter auch Zero-Day-Lücken. Man habe eine "kleine Sammlung gehackter Websites" gefunden, über die Schadsoftware auf iPhones mit iOS 10, 11 oder 12 eingeschleust werden konnte, heißt es in einem am Donnerstagabend veröffentlichten Abschlussbericht. Dabei reichte es, wenn die Nutzerinnen und Nutzer die Website öffneten – ein bedenkliches Angriffsszenario.

"Nur der Besuch der Website war genug, um das Gerät anzugreifen und im Erfolgsfall ein Abhörimplantat zu installieren", schreibt der Sicherheitsforscher Ian Beer von Project Zero. Die Angreifer hätten dann die Möglichkeit, weitere Schadsoftware nachzuladen oder auf den Passwortspeicher, die sogenannte Keychain, des iPhones zuzugreifen. Dadurch könnten sie an Zugänge zu privaten Konten, E-Mails und Apps gelangen, Fotos und Kontaktlisten abgreifen, private Chats mitlesen und den aktuellen Standort des iPhones aufrufen. Alle 60 Sekunden würde die Schadsoftware mit dem Kontrollserver der Angreifer kommunizieren. Die iPhone-Besitzerinnen bekommen davon praktisch nichts mit, alles läuft im Hintergrund des Systems.

Update auf iOS 12.1.4 stopft die Lücken

Insgesamt fünf komplexe Exploit-Ketten mit 14 einzelnen Sicherheitslücken haben die Google-Forscher im Verlauf ihrer Untersuchung gefunden. Das ist eine Menge, gemessen an der Komplexität der Schwachstellen und Apples vergleichsweise hohen Sicherheitsstandards. Vor allem die Tatsache, dass die Angriffe offenbar nicht auf einzelne Userinnen und User abzielten, etwa indem bewusst Links zu den infizierten Websites verschickt wurden, überraschte die Experten. Auch wenn sie nicht erwähnen, um welche Websites es sich handelt und ob sie noch aktiv sind, könnten über den Zeitraum von etwa zwei Jahren Tausende oder Zehntausende iPhone-Nutzerinnen von den Angriffen betroffen oder betroffen gewesen sein, schätzen die Forscher.

Immerhin nistet sich die Schadsoftware nicht dauerhaft in den Geräten ein. Nach einem Neustart des iPhones ist sie wieder verschwunden. Trotzdem reicht es, wenn die Angreifer einmal Zugriff auf ein Smartphone und seine Inhalte haben, um etwa Passwörter und Logindaten abzugreifen und damit weiteren Schaden anzurichten.

Im Februar informierten die Google-Forscher ihre Kollegen von Apple. Das Unternehmen reagierte binnen einer Woche und stopfte die Lücken im Update auf iOS 12.1.4. Wer sein iPhone seit Februar nicht auf diese Version aktualisiert hat, sollte das dringend nachholen und vorsichtshalber seine Passwörter ändern. Nutzerinnen, die ihr Betriebssystem schon upgedatet haben, sollten vor den beschriebenen Angriffen sicher sein. Allerdings, warnen die Sicherheitsforscherinnen, sei es möglich, dass noch weitere, ähnliche Exploits existierten.

Wer steckt dahinter?

Ungeklärt ist die Frage, wer hinter den komplexen Angriffen steckt. Die Experten von Project Zero stellen diesbezüglich keine Vermutungen an. Zero-Day-Lücken werden häufig von staatlichen und geheimdienstlichen Akteuren ausgenutzt. Doch die suchen sich ihre Ziele in der Regel sehr selektiv aus. Allein deshalb, damit die lukrativen Schwachstellen möglichst lange unentdeckt bleiben.

Scheinbar völlig ziellose Angriffe über mehrere infizierte Websites sind eher ungewöhnlich. Trotzdem könnte dahinter eine geplante Kampagne stecken. Etwa dann, wenn die betroffenen Websites sich konkret an bestimmte Bevölkerungsgruppen richten und diese wiederum im Fokus von Regierungen und Geheimdiensten stehen. "Es kann schon reichen, einfach in einer bestimmten Region geboren oder Teil einer bestimmten ethnischen Gruppe zu sein", schreiben die Experten, ohne genauere Informationen zu liefern.

Für Apple ist es der zweite Rückschlag in Sachen iPhone-Security binnen weniger Wochen. Anfang August fanden Sicherheitsforscher, ebenfalls von Project Zero, bereits mehrere Wege, um sich über die Chat-App iMessage Zugriff auf iPhones zu verschaffen.