Sicherheitsforscher: Modifizierte Webseiten konnten jahrelang iPhone-Nutzer ausspähen

hotrs

Murer Reinette
Registriert
12.09.17
Beiträge
1.638
Quelle: https://www.iphone-ticker.de/sicher...en-jahrelang-iphone-nutzer-ausspaehen-146050/

Google Sicherheitsexperten haben offensichtlich durch Analyse von Webseiten mehrere Schwachstellen gefunden, mit deren Hilfe über Jahre hinweg Daten von iPhones abgegriffen wurden. Zu den Daten soll u.a. der iOS Schlüsselbund, Messenger Datenbanken, Fotos und Kontakte gehören. Mit iOS 12.1.4 wurden die Lücken geschlossen (https://support.apple.com/en-us/HT209520).

Edit: mit Hilfe der Sicherheitslücken waren (manipulierte) Webseiten in der Lage, Malware auf iOS Geräten auszuführen, die bis zu einem Neustart des Gerätes aktiv blieb.

Gruß
 
Zuletzt bearbeitet:
  • Like
Reaktionen: makossa

hotrs

Murer Reinette
Registriert
12.09.17
Beiträge
1.638
Quelle hatte ich nachgetragen, hat sich wohl überschnitten. Und bzgl. iOS 12.1.4 siehe https://support.apple.com/en-us/HT209520

Edit: Schön finde ich auch das im Artikel genannte Resümee der Google Mitarbeiter. Man trifft sicherheitsrelevante Entscheidungen oft einfach auf Grund seiner Wahrnehmung. Man sollte aber immer damit rechnen, dass es einen selbst treffen kann.

Gruß
 
Zuletzt bearbeitet:

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Wichtig ist zu erwähnen, dass die Sicherheitslücken auch unter iOS 10 & iOS 11 existieren. Von Patches für diese Versionen ist (zumindest mir) bisher nichts bekannt, ich konnte auch keine Hinweise finden, ob Patches geplant sind. Es ist davon auszugehen, dass die Lücken systematisch über mehrere Jahre ausgenutzt wurden, aktuelle Varianten des Angriffs sind auch immer noch bzw. wieder möglich.

Primärquelle: Project Zero

Auf Deutsch, kürzer und deutlich weniger technisch: Heise

Das ist ein wirklich katastrophaler Angriff, warum ist das nicht im Forum angepinnt und unübersehbar auf der Magazin-Seite (da habe ich gar nichts dazu gefunden!) für die mit noch ungepatchten iOS 12. iOS 10 & iOS 11 kann man m.E. aktuell überhaupt nicht mehr ins Internet lassen, zumal über kompromittierte iDevices auf Grund der weitreichenden Zugriffsrechte auch lokale (Heim-)Netz massiv gefährdet sind - die meisten werden ja mehr oder weniger vollen Zugriff ihrer eigenen Geräte untereinander im LAN zulassen.
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Sollte das wahr sein, ein starkes Stück. Und was vollkommen Neues. Na wenigstens sind die Lücken jetzt geschlossen. Und einen Neustart überlebt die Malware nicht. Da ist der Schaden unter Umständen zwar schon angerichtet, aber immerhin das Gerät wieder sauber.
 

Samson76

deaktivierter Benutzer
Registriert
26.12.17
Beiträge
379
Bei solchen Fällen sollte man zwingend die Seiten nennen.
 

Wotan18m14

Seidenapfel
Registriert
07.09.16
Beiträge
1.330
Evtl gibt es ja bald eine Liste wer betroffen sein kann oder eine Seite um zu prüfen? Wäre ja nicht schlecht..

Apple sollte das offen kommunizieren wenn die Schwachstelle schon ausgenutzt wurde..
 

faith250285

Cripps Pink
Registriert
06.08.17
Beiträge
154
Ich denke für das iPhone gibt es keine Malware etc... :)
Aber immer noch um Welten besser wie der Saftladen Google / Android.

Ein Schelm wer böses denkt !
 

Ducatisti

Strauwalds neue Goldparmäne
Registriert
02.11.16
Beiträge
636
Eine Riesensauerei,das sowas regelrecht verschwiegen wird.
 
  • Like
Reaktionen: dg2rbf

Mitglied 231919

Gast
Eine Riesensauerei,das sowas regelrecht verschwiegen wird.
Verschweigen bis die Lücke gepatched ist ist die richtige Taktik! Ungepatchte Lücken detailliert zu veröffentlichen ruft nur Trittbrettfahrer auf den Plan und erhöht den Schaden.

Ich nutze iOS zwar erst seit Version 12.0, aber dennoch würden mich die Webseiten mal interessieren.
 
  • Like
Reaktionen: NorbertM

au37x

Baldwins roter Pepping
Registriert
06.11.14
Beiträge
3.232
Ich glaube ich weiß schon, warum ich nicht bei AliExpress und Konsorten unterwegs bin
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Sollte das wahr sein, ein starkes Stück.

Den Konjunktiv verstehe ich nicht, Primärquelle ist verlinkt und in dem Blogbeitrag sind links auf die CVEs. Project Zero ist ja nun eine absolut seriöse Quelle.

Na wenigstens sind die Lücken jetzt geschlossen.

Nein! Das habe ich doch klar geschrieben! Für iOS 10+11 ist gar nichts gefixt, nur für iOS 12 kann man sich halbwegs sicher sein. Was das für tvOS oder watchOS bedeuten könnte, hat wahrscheinlich noch niemand analysiert.

Und einen Neustart überlebt die Malware nicht.

Und wir starten ja unsere iDevices mehrmal am Tag neu, oder was? Das ist ein drive-by Angriff, solange das Gerät nicht sicher ist müssten alle kompromittierten Webseiten (das sind ja auch wieder eigene Sicherheitslücken, die gefixt werden müssen und wo alle Betreiber die entsprechendes Patches einspielen müssen - wieviele das sind, weiss noch niemand) sicher sein. Ansonsten reicht es nach einem Neustart, die Webseite anzusteuern. Mal ganz davon abgesehen, dass die Angreifer zu diesem Zeitpunkt ggf. längst im Besitz von Passwörtern, persönlichen Informationen usw. von deinem iDevice sind, so dass es vmtl. egal ist, ob das Gerät ein zweites Mal kompromittiert wird. Schliesslich gibt es nach einem erfolgreichen Angriff z.B. über erbeutete IMSIs ganz neue Angriffsszenarien um dich z.B. zu tracken als über ein kompromittiertes OS. Du kannst auch nicht davon ausgehen, dass ein Passwort welches du jemals gecached hast oder auf einer Webseite eingegeben hast, die das unverschlüsselt im Cookie ableget ("Auf diesem Gerät nicht erneut fragen") sicher ist. Die Folgen sind also sehr viel weitreichender als bei einem "normalen" Trojaner. Deshalb ist mir hier die fehlende Aufregung völlig unverständlich, wo sonst jeder Pipifax in die Nachrichten kommt. Selbst wenn das Gerät sicher ist und von mir aus jede Website dieser Welt nicht mehr infiziert, weiss Stand heute niemand, was alles an Daten abgegriffen wurde! Du kannst nicht davon ausgehen, dass irgendein Account, den du je mit deinem iDevice genutzt hast nicht kompromittiert ist.

Bei solchen Fällen sollte man zwingend die Seiten nennen.

Das wird irgendwann kommen, aber vmtl. werden das viel zu viele sein, als dass man die alle noch sinnvoll listen kann. Ist bei großen drive-by/injection Lücken ja heute schon so.

Apple sollte das offen kommunizieren wenn die Schwachstelle schon ausgenutzt wurde..

Wurde sie, seit Jahren - hat eigentlich keiner von euch mal das Material hinter meinen Links gelesen???

Und nirgends gibt’s Infos dazu.

Ist doch Blödsinn, ich hab doch Infos verlinkt. Das Ding hat eine Größenordnung, dass das komplette Ausmaß des Schadens bzw. der betroffenen noch gar nicht bekannt ist. Glaubst du die sitzen bei Google und Apple seit Februar 'rum und drehen Däumchen weil "alles ist gut"??? (Naja, OK, für Apple würde ich da seit einigen Jahren nicht mehr die Hand ins Feuer legen, aber der Rest der Security-Community hat das sicherlich auf dem Schirm. Schliesslich sind auch nicht-Apple-Systeme notwendig, um die iDevices zu kapern.)

Aber immer noch um Welten besser wie der Saftladen Google / Android.

Eine Lücke dieser Größenordnung muss unter Android aber erst mal gefunden/erzeugt werden.

Musste es Apple erst sagen, selbst haben die es anscheinend nicht bemerkt.

Wie bei eigentlich fast allen schwerwiegenden Lücken in Apple-Software der gar nicht mehr so jungen Vergangenheit. Die Changelogs der Apple-Patches listen ja brav die CVEs, die gefixt wurden, auch wenn man da immer erst mal nach suchen muss. Einfach mal anschauen und sich wundern, wie wenige der gestopften Sicherheitslücken Apple gefunden hat. Man kann natürlich argumentieren, dass Apple sicherlich ganz toll viele Lücken gefunden hat und einfach patcht, ohne da groß 'drüber zu reden. Das ist aber a) problematisch, da dann keiner weiss, was evtl. wann bei ihm kompromittiert wurde und b) würde das bedeuten, dass es evtl. noch sehr viel mehr Lücken gibt, als ohnehin - sind ja gerade in den letzten Patches nicht gerade wenige Sicherheitslücken gewesen, die gestopft wurden.

Eine Riesensauerei,das sowas regelrecht verschwiegen wird.

Das ist Blödsinn. Das ist ein hochkomplexer Angriff, den man erst mal verstehen muss(te) und es ist ja alles dokumentiert und zumindest teilweise auch gepatcht. Dass die Details erst dann (=gestern) veröffentlicht werden, wenn es eine Chance gab, die Lücken zu schliessen ist Standard und sinnvoll, schliesslich will man nicht noch eine Truppe Trittbrettfahrer aktivieren, bevor man eine Chance hat, einen Fix zu liefern. Was völlig unverständlich ist, ist dass man hier nichts darüber liest - auch im Magazin gibt's dazu immer noch nichts! - und das es keinerlei Infos gibt, was denn der Plan für iOS 10+11 ist.


Ich glaube ich weiß schon, warum ich nicht bei AliExpress und Konsorten unterwegs bin

Was soll denn jetzt der Blödsinn? Aliexpress, Gearbest usw. - das sind die Amazons von China. Ich glaube Sorgen machen sollten sich primär Besucher von Porno-, WareZ- und Schwarzmarktseiten. Die seriösen Handelsplattformen sind üblicherweise sauber hochgepatcht. Die Annahme, dass deutsche oder europäische Webseiten "sauberer" sind als asiatische ist einfach nur dumm.

Der Hauptgrund, dass da aktuell noch einigermaßen Funkstille ist dürfte sein, dass neben entsprechend ausgestatteten kriminellen Vereinigungen auch Staaten die Möglichkeiten zu so einer Nummer haben. Und da geht zumindest mein Blick nicht nur nach China oder Russland, wie die jüngste Vergangenheit überdeutlich gezeigt hat.
 

giesbert

Hibernal
Registriert
20.09.14
Beiträge
1.998
Was mich etwas verwundert ist, dass die üblichen Verdächtigen – zB Macworld, AppleInsider, 9to5mac, Daring Fireball – überhaupt nichts bringen. Verge, Wired - aber sonst? Schon eigenartig. Oder hab ich da was übersehen?
 
  • Like
Reaktionen: MMV und dg2rbf

saw

Sondergleichen von Welford Park
Registriert
31.08.07
Beiträge
9.907
https://9to5mac.com/2019/08/29/google-iphone-website-security-vulnerability/
https://appleinsider.com/articles/1...es-and-location-data-went-unnoticed-for-years

Ich finde die "Zurückhaltung" in den unterschiedlichen Medien, auch etwas seltsam.
Auch wenn ich absolut keine Ahnung habe, was da im Detail passiert,
ich denke das man da Project Zero absolut vertrauen kann.
Wenn ich jetzt lese, dass sogar der Schlüsselbund offen war, graust es mich wirklich,
meine Chats und Mails.... sehr ärgerlich aber könnte/müsste ich ertragen.
Aber der Schlüsselbund? Ich war bisher überzeugt, der wäre sicher, sicherer wie jede andere app hierfür.
Ich habe da alleine fast 120 Webseiten + Mail Accounts + App Accounts + dutzende andere Accounts gespeichert,
soll ich die nun alle ändern? Wäre schön, wenn man jetzt sofort prüfen könnte ob man betroffen ist, bzw. welche Seiten man besucht haben müsste.