Wenn es um Sicherheit geht, dann war lange geglaubt, dass das iPhones eines der schwersten Geräte in Bezug auf Hacking ist – siehe den Fall des „Million-Dollar-Dissident“ Ahmed Mansour. iPhone Hacks sind so selten und wertvoll, dass sie heute geschätzt ein bis zwei Millionen Dollar in Anspruch nehmen. Und obwohl Regierungen seit Jahren ihre schwersten Geschütze ausfahren, um an Daten von einzelnen iPhones zu gelangen, hat ein Google Research Team („Google Project Zero“) nun Informationen veröffentlicht, die zeigen, dass Hacker seit zwei Jahren iPhones systematisch – und erfolgreich – angreifen.
Die Hacks wurden nur durch einen Websitebesuch möglich gemacht: einzelne Websites verwendeten sogenannte exploit chains, die Sicherheitsschwachstellen miteinander verknüpfen, sodass Hacker in jede Schicht des digitalen iOS-Schutzes eindringen können. Diese seltenen und komplizierten Codeketten nutzten die Vorteile von insgesamt 14 Sicherheitsmängeln. Fast jede Version von iOS 10 bis iOS 12 war potenziell anfällig. Die Seiten waren mindestens seit 2017 aktiv, mit tausenden von Besuchern pro Woche. Das Research Team stellt fest: die Operation ist mit ziemlicher Sicherheit der größte bekannte iPhone Hacking Vorfall aller Zeiten.
Experten sagen, dass jene iPhone-Nutzer, die Opfer dieser Attacke geworden sind, wahrscheinlich keinen Hinweis darauf erhalten haben, dass ihre Geräte infiziert waren. Auch Google hat die Websites, die als Infektionsmechanismus dienten, nicht genannt haben, so wie auch andere Details über die Angreifer oder wer ihre Opfer waren. Google sagt, dass sie Apple am 1. Februar auf die Zero-Day-iOS-Schwachstellen aufmerksam gemacht haben. Apple hat sie dann auf iOS 12.1.4, veröffentlicht am 7. Februar, gepatcht.
Oben wurde zwar die Summe von ein bis zwei Millionen Dollar für einen Hackerangriff auf ein iPhone genannt, dies trifft jedoch nur auf Einzelpersonen zu. Skaliert man diesen Angriff auf eine ganze Gruppe, kann der Preis pro Fall sehr günstig sein. Um für einen solchen Fall als Opfer anvisiert zu werden, kann es schon reichen, einfach in einer bestimmten geografischen Region geboren zu sein oder Teil einer bestimmten ethnischen Gruppe zu sein, denn für viele Regierungen weltweit ist eine solche Malware genau das, was gesucht wird.