Sicherheitslücke ist nicht gleich Sicherheitslücke: Während manche davon eher theoretischer Natur oder zumindest nur schwer ausnutzbar sind, gibt es andere, bei denen die Alarmglocken laut schrillen sollten. Eine solche machen nun die auf staatliche Spionage spezialisierten Forscherinnen und Forscher von Citizen Lab öffentlich. Das bedeutet vor allem: Wer ein iPhone hat, sollte dieses so schnell wie möglich auf den neuesten Stand bringen.

Zero-Click und Zero-Day

Durch die von Citizen Lab Blastpass getaufte Lücke könnten iPhones ohne jedes Zutun der Betroffenen von außen übernommen werden – es ist also ein sogenannter Zero-Click-Angriff möglich. Als wäre das nicht unerfreulich genug, handelt es sich dabei aber auch um eine Zero-Day-Attacke. Wurde sie doch bereits aktiv für Angriffe genutzt, und zwar von der seit Jahren heftig umstrittenen NSO Group. Diese ermöglichte es ihren meist staatlichen Kundinnen und Kunden damit, die eigene Spyware Pegasus auf iPhones von Zielpersonen unterzubringen.

Eine Person hält ein iPhone in der Hand, es ist die Rückseite des Geräts zu sehen
Im Ziel von kommerzieller Spyware: iPhone-User sollten die Software dringend updaten
REUTERS/THOMAS PETER

Einmal mehr wurde dabei offenbar iMessage als Angriffsvektor genutzt. Die Angreifer schickten in diesem Fall eine manipulierte Passkit-Datei, wie sie für digitale Pässe genutzt wird, an ihre Opfer, in der der Schadcode versteckt war. Wie etwa auch Bilder werden diese zur Anzeige in iMessage vom Betriebssystem analysiert und aufbereitet. Genau in der für diese Aufgaben verwendeten iOS-Komponenten namens ImageIO fand sich dann die betreffende Lücke.

Nebeneffekt

Interessant dabei ist auch, dass Apple parallel dazu eine zweite Lücke in seinem Betriebssystem schließt, und zwar in der Apple Wallet. Das klingt danach, als hätte man ausgehend von der Citizen-Lab-Warnung gleich nach verwandten Fehlern gesucht und diese auch gefunden.

Sowohl Apple als auch Citizen Lab gehen übrigens davon aus, dass die Lücke bei Aktivierung des "Lockdown Mode" nicht ausnutzbar gewesen wäre. Dabei handelt es sich um einen speziellen Hochsicherheitsmodus, der dem Betriebssystem zusätzliche Beschränkungen auferlegt. Das mag für die breite Masse oftmals störend wirken, für jene, die befürchten, ein potentielles Ziel solcher Attacken zu sein, aber jedenfalls eine gute Idee.

Update

Die beschriebenen Sicherheitslücken wurden mit dem Update auf iOS 16.6.1 geschlossen, das für iPhones ab dem iPhone 8 verfügbar ist. Auch für entsprechend aktuelle iPads gibt es ein passendes Update (iPadOS 16.6.1), das selbe Problem wird zu dem mit Updates für Macs (macOS Ventura 13.5.2) sowie die Apple Watch (watchOS 9.6.2) bereinigt.

Unklar bleibt dabei vorerst, ob auch ältere iOS-Generationen gefährdet sind. Generell liefert Apple zwar derzeit auch für das ältere iOS 15 noch regelmäßig Updates, diese folgen aber oftmals erst mit einer gewissen Verspätung. Zudem betont der Hersteller selbst, dass nur in der jeweils gerade aktuellen Softwaregeneration auch wirklich alle Lücken geschlossen werden. Sollte sich herausstellen, dass auch iOS 15 für Blastpass anfällig ist, bleibt jedenfalls zu hoffen, dass Apple schnell ein passendes Update folgen lassen wird. (Andreas Proschofsky, 10.9.2023)