Wer gedacht hat, mobile Endgeräte unter iOS seien unverwundbar, hat sich geirrt: Die Sicherheitslücke „Chaos“ kann iPhones und iPads allein durch den Aufruf einer Website kompromittieren und Schadsoftware auf dem Gerät hinterlassen. Mit dem iOS-Update 12.1.3 wird die Lücke geschlossen. Es empfiehlt sich, Mobilgeräte mit dem Betriebssystem-Update von Apple schleunigst auf den neuesten Stand zu bringen.

Auch iPhones können gehackt werden

Bislang gab es gute Gründe, an die IT-Sicherheit von iPhones zu glauben – etwa die geschlossene Welt von Hard- und Software bei Apple oder die Schnittstelle für ein Mobile Device Management für den Unternehmenseinsatz. Vollständig sicher sind allerdings auch die Apple-Endgeräte nicht, wie die notwendigen Softwarenachrüstungen rund um das neueste Sicherheitsupdate von iOS zeigt.

Apple veröffentlichte am 22. Januar 2019 das neueste Betriebssystem-Patch. Die Korrekturauslieferung aktualisiert iOS auf die Version 12.1.3. Neue Funktionalitäten bietet das Patch nur in geringem Umfang. Das iOS-Update schließt aber etwa 30 Sicherheitslücken, darunter auch kritische Schwachstellen.

„FaceTime“ ermöglicht Remote-Angriff

Eine dieser kritischen Sicherheitslücken ist laut „heise“ der Voice-over-IP-Dienst „Facetime“. Die Telefonieanwendung ermögliche Security-Angriffe, indem bei Anrufen Schadcode auf das Zielgerät aufgespielt werden könne. Durch die Sicherheitslücke droht unter anderem der Abgriff von Kontaktdaten.

Sicherheitslücke „Chaos“ auf iOS-Geräten

Zudem warnen IT-Sicherheitsexperten vor einem Exploit (ein Skript, das Schwachstellen systematisch ausnutzt) namens „Chaos“. Hier genügt es, wenn iPhone-Nutzer*innen eine manipulierte Website aufrufen. Der Seitenaufruf hebelt die Sicherheitsmaßnahmen des Safari-Browsers aus und initiiert einen Schadcode auf dem Mobilgerät („Remote-Jailbreak“). Die Installation und der daraus resultierende Hacker-Zugriff auf das Smartphone bleiben den Nutzer*innen allerdings vollständig verborgen.

Angreifern war es demnach möglich, Daten des infiltrierten Geräts auszuspionieren und das Gerät quasi fernzusteuern. Neben dem Datenabfluss warnten Mobile-Security-Experten auch vor Malware für Krypto-Mining und Anzeigenbetrug. Entdeckt wurde die Lücke vom chinesischen IT-Security-Fachmann Qixun Zhao, der bei Twitter als „S0rryMybad“ postet.

Update: I will release information once the patch release, please note that this bug still not fix in the latest iOS version now(12.1.2)(I think because the vocation of Christmas and New Year), so please wait.On the other hand, this bug can work under A12. https://t.co/XNS5pnZQn3

— SorryMybad (@S0rryMybad) 4. Januar 2019

Mehr als 30 mobile Sicherheitslücken gefixt

Grundlage der Manipulation ist eine Schwachstelle in der Administration der Kernel-Rechte. Betroffen sind alle mobilen Endgeräte von Apple mit der iOS-Version bis 12.1.2 – prinzipiell also alle Geräte seit dem iPhone 5s bis zu den jetzigen Flaggschiff-Modellen iPhone X, iPhone XS und iPhone XR.

Eine ausführliche Liste der Sicherheits-Fixes findet sich in der offiziellen Dokumentation von Apple über die 12.1.3-Sicherheitsinhalte.

iOS-Sicherheitsmaßnahmen

Und jetzt? Nutzer*innen sollten das Update schnellstmöglich installieren.

Firmenhandys sind von der Sicherheitslücke prinzipiell genauso betroffen. Wenn ihr eure Firmengeräte schützen wollt, müsst ihr eure Kolleginnen und Kollegen für die Wichtigkeit aktualisierter Betriebssysteme sensibilisieren.

Weblinks zum iOS-12.1.3-Update

• Apple stopft gravierende Schwachstellen auf iPhone und Mac (heise.de)
• iPhone-Hack Chaos: Der Besuch einer Website reicht zum Hack (stern.de)
• iOS 12.1.3 – Apple liefert Sicherheits-Updates für iPhone aus (areamobile.de)
• Sicherheitslücke bedroht iPhone-Nutzer (t-online.de)