Die Schadsoftware konnte zahlreiche sensible Daten abgreifen, wie in einem Blogeintrag von Project Zero beschrieben wird. Unter anderem hatte sie Zugriff auf die Nachrichtendatenbanken von Chat-Apps wie WhatsApp, Telegram und iMessages, das Telefonbuch, die Fotos und Daten aus dem Passwortmanager Schlüsselbund. Die Schadsoftware habe das infizierte Gerät zudem in Echtzeit tracken können.
Das Sicherheitsteam entdeckte im Zuge des Angriffs laut eigenen Angaben gleich mehrere Schadmechanismen und Sicherheitslücken, die tiefen Zugriff in das Apple-Betriebssystem erlaubten. Sie reichten in mehrere Ebenen der Betriebssystem-Architektur und wurden im Laufe der Zeit von den Angreifern auch angepasst. Sobald das Telefon neu gestartet wurde, endete auch das Ausspähen – bei einem erneuten Besuch der Website konnte das Gerät aber erneut infiziert werden.
Lücken seit Februar geschlossen
Apple hat die Schwachstellen bereits im Februar geschlossen, die Details wurden erst jetzt von den Google-Experten veröffentlicht. Damals hatte Apple in der Beschreibung des Updates geschrieben: „Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen.“ Betroffen waren iOS 10, 11 sowie 12. Google hatte Apple damals nur sieben Tage gegeben, um die Lücke zu schließen.
Unklar ist der Zweck des Angriffs. Das Sicherheitsteam veröffentlichte keine Angaben zu Angreifern und Opfern. Laut dem Blog-Posting seien „bestimmte Gemeinschaften“ im Visier gestanden. Die kompromittierten Websites hätten jedenfalls „Tausende Besucher pro Woche gehabt“. Auffällig sei auch gewesen, dass sich die Angreifer wenig Mühe machten, die Attacken zu verbergen. So übermittelte die Schadsoftware die abgegriffenen Daten unverschlüsselt in ihre Zentrale. Die entsprechenden Sicherheitslücken hätten von den Hackern jedenfalls wohl für viel Geld veräußert werden können – für sensible Exploits zahlen Unternehmen viel Geld.
„Das ist wild“
Der Angriff ist auf mehreren Ebenen bemerkenswert: Bisher galten iPhone-Hacks als schwierig und teuer. Attacken auf die Apple-Smartphones, hieß es, würden dementsprechend eher gegen Einzelpersonen gerichtet. Dass die Geräte nun allein durch den Besuch einer Website infiziert wurden, sorgte neben der Tiefe des Eingriffs in IT-Sicherheitskreisen für Erstaunen. „Das ist wild“, schrieb etwa Experte Marcus Hutchins, der im Zuge der WannaCry-Attacke 2017 bekannt wurde. Als „furchteinflößend“ bezeichnete der Mac-Experte Thomas Reed von MalwareBytes laut „Wired“ den Hack.
Das Magazin schrieb, dass der Angriff „alles ändere, was wir über Attacken auf das iPhone wissen“. Laut dem Blogeintrag von Project Zero beseitige der Angriff den Glauben daran, dass jedes Opfer eines iPhone-Hacks eine Person besonderen Interesses sein müsse. Wie der Sicherheitsanalyst Cooper Quintin vom Electronic Frontier Foundation’s Threat Lab gegenüber „Wired“ sagte, zeige der Angriff, dass auch Gruppen leicht überwacht werden können – etwa ethnische oder religiöse Minderheiten, die im Visier von Regierungen stehen.
Enthüllung kurz vor Apple-Event
Laut „Wired“ müsse der Hack jedenfalls ein „Weckruf“ für die Sicherheitsbranche sein. Auch Project Zero schrieb in dem Blogeintrag, dass man mit weiteren Entdeckungen dieser Art rechnen müsse: „Wir sind so gut wie sicher, dass es noch mehr zu sehen gibt.“ Für Apple erfolgt die Bekanntgabe jedenfalls zu einer besonders unangenehmen Zeit: Am 10. September soll ein Neuheitenevent stattfinden. Es wird erwartet, dass das Unternehmen ein neues iPhone vorstellen wird.
Das iPhone ist das mit Abstand wichtigste Apple-Produkt und machte zuletzt auch nach einem Absatzrückgang noch knapp die Hälfte des Konzerngeschäfts aus. Apple versucht zugleich, sich mit dem Ausbau des Servicegeschäfts aus der Abhängigkeit vom iPhone-Absatz zu lösen. Apple wollte sich laut „Financial Times“ vorerst nicht zu dem Hack äußern.