Eine kürzlich entdeckte Sicherheitslücke in Apple iPhone-Geräten zeigte, dass die Geräte anfällig für Remote-Hacking sind. Ein White-Hat-Hacker, der bei Google als Teil des Project-Zero-Teams angestellt ist, beschrieb in einem längeren Blog-Post, wie es ihm gelang, iPhones aus der Ferne über WiFi zu hacken. Alles, was er brauchte, um unbefugten Zugriff zu erhalten, war, sich in der Nähe der anvisierten Geräte aufzuhalten. Das Problem, das die Schwachstelle ermöglichte, wurde von Apple bereits im Mai 2020 gepatcht.
Durch den ausnutzbaren Funk-Nähe-Exploit konnte der White-Hat-Hacker auf alle Dateien zugreifen, die auf den anvisierten Geräten gespeichert sind, darunter E-Mails, Notizen, Bilder, Standortdaten usw. Was diese Ergebnisse besonders bemerkenswert macht, ist die Tatsache, dass die Benutzer nicht auf einen verdächtigen Link klicken, eine zwielichtige Website besuchen oder eine bösartige Karte herunterladen mussten. Alles, was potenzielle Opfer tun mussten, war, sich in der Nähe einer Person aufzuhalten, die in der Lage war, die Sicherheitslücke auszunutzen. Was die Sache noch schlimmer macht, ist, dass der Sicherheitsfehler auch den Zugriff auf die Kamera und das Mikrofon des anvisierten Geräts verraten würde.
Nach Angaben von Ian Beer, dem Project Zero-Forscher, der die Sicherheitslücke entdeckt hat, scheint der Fehler von Cyberkriminellen nicht weit verbreitet gewesen zu sein. Es ist also unwahrscheinlich, dass jemand mit diesem speziellen Exploit auf Ihre iPhone-Dateien zugegriffen hat. Er wies jedoch darauf hin, dass die Leute erst auf die Nachricht reagierten, nachdem Apple einen Patch herausgegeben hatte, der die Sicherheitslücke behebt. Es handelt sich also mit Sicherheit um ein Problem, das schon vorher ausgenutzt worden ist. Laut dem White-Hat-Hacker bemerken normale Leute einen solchen Fix nicht, wenn sie kein tiefes Interesse an diesem Code haben.
Das Auffinden der Sicherheitslücke war das längste Exploitation-Projekt, an dem er je gearbeitet hat. Nach Angaben des Cybersecurity-Experten hat er etwa sechs Monate gebraucht, um ihn zu entdecken. Er weist jedoch darauf hin, dass Unternehmen und staatlich gesponserte Teams es viel schneller schaffen könnten – da es sich oft nicht um Einzelpersonen handelt, die alleine arbeiten, sondern um Gruppen von ausgebildeten Experten, die zusammenarbeiten, jeder mit seiner Spezialisierung. Außerdem haben sie Zugang zu viel solideren Informationsquellen wie Symboldateien, durchgesickertem Quellcode und Hardware wie speziellen Kabeln, Entwicklungsgeräten usw.
Sicherheitsforscher veröffentlichen ihre Erkenntnisse selten, bevor ein Unternehmen die Chance hatte, sich um die Sicherheitslücke zu kümmern. Die Tatsache, dass die Sicherheitslücke bereits im Mai behoben wurde und die breite Masse erst im Dezember davon erfährt, bedeutet, dass die Schwachstelle möglicherweise schon lange vor dem Patch von Apple bekannt war. Es war noch nie so wichtig für Smartphone-Nutzer, sicherzustellen, dass sie immer das neueste Betriebssystem auf ihren angeschlossenen Geräten verwenden und dass sie über einen High-End-Sicherheitsschutz verfügen.