WebKit-Lücken: Überwachungs-Implantat weiter gegen iPhones im Einsatz
Angreifer nutzen Schwachstellen in älteren iOS-Versionen, um Malware auf iPhones einzuschleusen, warnen Sicherheitsforscher. Ziel seien erneut Uiguren.
(Bild: Motortion Films/Shutterstock.com)
Über manipulierte uigurische Webseiten wird offenbar weiterhin versucht, Überwachungs-Tools auf iPhones einzuschleusen. Angreifer nutzen dafür nach einer Analyse von Sicherheitsforschern Schwachstellen in Apples Browser-Engine WebKit aus, die bestimme iOS-12-Versionen verwundbar machen.
Da Apple alle iOS-Browser dazu zwingt, WebKit einzusetzen, konnten iPhones auch dann erfolgreich kompromittiert werden, wenn Nutzer Browser von Drittanbietern wie Google Chrome oder Microsoft Edge einsetzen, heißt es in dem Bericht.
Angriffe über uigurische Webseiten
Googles Sicherheits-Team Project Zero hatte im vergangenen Jahr erstmals weitreichende Drive-By-Angriffe auf iOS-Geräte über manipulierte Websites öffentlich dokumentiert und damit für erhebliches Aufsehen gesorgt: Beim Besuch der Seiten werde Malware mit Root-Rechten eingeschleust, die viele Daten des Nutzers – von Fotos bis hin zur Kommunikation über Messenger – auf Server der Angreifer übertrage und so eine umfassende Überwachung ermögliche. Die Angriffe würden über "weniger als ein Dutzend" Webseiten erfolgen, die auf die uigurische Gemeinschaft abzielen, betonte Apple damals in einer Reaktion, man habe die Schwachstellen längst geschlossen.
(Bild: Volexity)
Die Angriffe seien im Anschluss offenbar vorübergehend eingestellt worden, schreibt die Sicherheitsfirma Volexity, die auch die erste Angriffswelle analysiert hatte. Man habe von Januar bis März 2020 dann aber eine neue, auf iOS-Geräte abzielende Malware-Kampagne protokollieren können, die eine verbesserte Version des Überwachungs-Implantats einschleusen sollte – hauptsächlich über eine uigurische Webseite.
Die neue Fassung des Implantats übertrage die Daten verschlüsselt und versuche auch gezielt Daten aus dem Krypto-Messenger Signal und der Mail-App Protonmail auszulesen. Hinter den Angriffen stehe wohl dieselbe Gruppe, die diese Spionageaktionen mit erheblichem Aufwand durchführe – und auf alle großen Betriebssysteme abziele. Der eingesetzte Exploit funktioniere allerdings nur auf Geräten mit iOS 12.3, 12.3.1 und 12.3.2, Apple habe die verwendeten WebKit-Schwachstellen im Sommer 2019 mit iOS 12.4 geschlossen.
Apple liefert weiter Sicherheitsfixes für iOS 12
Aktuell ist derzeit iOS in Version 13.4.1. Laut Apple läuft aber noch auf knapp einem Viertel der aktiven iPhones iOS 12. Wie viele davon nicht auf die neueste Version von iOS 12 aktualisiert haben, bleibt unklar, das ist derzeit Version 12.4.6. Apple hat im vergangenen Jahr damit begonnen, auch die ältere iOS-Version noch mit Sicherheits-Updates zu versorgen, nennt dafür teils aber keine Details zu den gefixten Schwachstellen.
t
(lbe)
