Apple-Benutzer wurden angewiesen, ihre Software zu aktualisieren, um potenzielle Eindringlinge zu blockieren, nachdem der Technologieriese schwerwiegende Sicherheitslücken in seinen iPhones, iPads und Macs entdeckt hatte.
Zero-Day-Softwarefehler könnten es Angreifern möglicherweise ermöglichen, die vollständige Kontrolle über diese Geräte zu übernehmen.
Experten für Cybersicherheit warnen, dass Hacker den Standort von Benutzern verfolgen, Nachrichten lesen, die Kontaktliste einer Person anzeigen und sogar auf ihr Mikrofon und ihre Kamera zugreifen könnten.
Hier beantwortet MailOnline alle wichtigen Fragen und sagt Ihnen, was Sie tun müssen, um sich zu schützen.
Was ist passiert?
Apple hat schwerwiegende Sicherheitslücken für iPhones, iPads und Macs offengelegt, die es Angreifern potenziell ermöglichen könnten, die vollständige Kontrolle über diese Geräte zu übernehmen.
Das Unternehmen veröffentlichte am Mittwoch zwei Sicherheitsberichte zu dem Problem, obwohl diese außerhalb der technischen Veröffentlichungen keine große Aufmerksamkeit fanden.
Apple sagte, die Schwachstelle bedeute, dass ein Hacker „vollständigen Administratorzugriff“ auf das Gerät erhalten könne.
Laut Rachel Tobac, CEO von SocialProof Security, könnten sich Eindringlinge damit als Besitzer des Geräts ausgeben und anschließend beliebige Software in ihrem Namen ausführen.
Andy Norton, Chief Cyber Risk Officer bei Armis, sagte: „Dies hat eindeutig weitreichende Auswirkungen.
„Apple-Produkte sind zu einem festen Bestandteil des täglichen Lebens geworden, Gesichtserkennung, Banking-Apps, Gesundheitsdaten, so ziemlich alles, was uns am Herzen liegt, befindet sich auf unseren Apple-Produkten.
“In der Vergangenheit haben viele Menschen ihre Apple-Produkte nicht aktualisiert, aus Angst, die Lebensdauer ihrer Geräte zu verkürzen, dieses Verhalten muss sich jetzt ändern.”
Welche Geräte sind betroffen?
Die beiden Sicherheitslücken wurden in WebKit gefunden, der Browser-Engine, die Safari antreibt, und im Kernel, dem Kern des Betriebssystems.
Sicherheitsexperten haben Benutzern geraten, betroffene Geräte zu aktualisieren, einschließlich des iPhone 6S und neuerer Modelle; mehrere Modelle des iPad, darunter die 5. Generation und später, alle iPad Pro-Modelle und das iPad Air 2; und Mac-Computer mit MacOS Monterey.
Der Fehler betrifft auch einige iPod-Modelle.
Apple gab am Mittwoch bekannt, dass sie Sicherheitslücken in ihren iPhones, Macs, iPads und Uhren entdeckt haben
Wer ist gefährdet?
Apple hat in den Berichten nicht gesagt, wie, wo oder von wem die Schwachstellen entdeckt wurden. In allen Fällen wurde ein anonymer Forscher zitiert.
Kommerzielle Spyware-Unternehmen wie die israelische NSO Group sind jedoch dafür bekannt, solche Schwachstellen zu identifizieren und auszunutzen, indem sie sie in Malware ausnutzen, die heimlich die Smartphones der Zielpersonen infiziert, deren Inhalte abschöpft und die Zielpersonen in Echtzeit überwacht.
Die NSO Group wurde vom US-Handelsministerium auf die schwarze Liste gesetzt. Es ist bekannt, dass seine Spyware in Europa, dem Nahen Osten, Afrika und Lateinamerika gegen Journalisten, Dissidenten und Menschenrechtsaktivisten eingesetzt wurde.
Der Sicherheitsforscher Will Strafach sagte, er habe keine technische Analyse der Schwachstellen gesehen, die Apple gerade gepatcht habe.
Das Unternehmen hat zuvor ähnlich gravierende Mängel eingeräumt und, was Strafach auf vielleicht ein Dutzend Male schätzte, festgestellt, dass ihm Berichte bekannt waren, dass solche Sicherheitslücken ausgenutzt wurden.
Diejenigen, die bei der Aktualisierung ihrer Software besonders aufmerksam sein sollten, sind „Personen, die im Blickpunkt der Öffentlichkeit stehen“, wie Aktivisten oder Journalisten, die das Ziel raffinierter nationalstaatlicher Spionage sein könnten, sagte Tobac.
Was würde passieren, wenn die Schwachstelle ausgenutzt würde?
In einem Update auf seiner Support-Seite sagte Apple, einer der Fehler bedeute, dass eine bösartige Anwendung „möglicherweise beliebigen Code mit Kernel-Privilegien ausführen kann“.
Das bedeutet, dass ein Angreifer, der sich Zugriff auf ein Apple-Gerät verschafft hat, möglicherweise das gesamte Betriebssystem übernehmen und sich so die Art von „administrativen Superkräften“ aneignen könnte, die normalerweise Apple selbst vorbehalten sind.
Dies würde es ihnen ermöglichen, Systemsicherheitseinstellungen zu ändern, Screenshots zu machen, Ihren Standort zu finden, Kameras auf dem Gerät zu verwenden, Textnachrichten zu kopieren und Ihr Surfen zu verfolgen.
Es gibt auch eine Remote-Code-Ausführungslücke in Apples HTML-Rendering-Software (WebKit), was bedeutet, dass eine mit Sprengfallen versehene Webseite iPhones, iPads und Macs dazu verleiten könnte, nicht autorisierten und nicht vertrauenswürdigen Softwarecode auszuführen.
Der unabhängige Sicherheitsforscher Sean Wright sagte, die beiden Schwachstellen könnten „miteinander verkettet werden, um Angreifern zu ermöglichen, aus der Ferne vollen Zugriff auf die Geräte der Opfer zu erhalten“.
In einem Update auf seiner Support-Seite sagte Apple, dass einer der Fehler bedeutet, dass eine bösartige Anwendung „möglicherweise beliebigen Code mit Kernel-Privilegien ausführen kann“ – was als vollständiger Zugriff auf das Gerät beschrieben wurde
„Apple hat einige ziemlich schwerwiegende Sicherheitslücken für iPhones, iPads und Macs offengelegt, die es Hackern möglicherweise ermöglichen könnten, die vollständige Kontrolle über diese Geräte zu übernehmen“, sagte Jake Moore, Global Cybersecurity Advisor bei ESET Internet Security, gegenüber MailOnline.
„Wenn sie ausgenutzt werden, könnten Angreifer Ihren Standort sehen, Nachrichten lesen, Kontaktlisten anzeigen und möglicherweise sogar auf das Mikrofon und die Kamera zugreifen – all die Dinge, die Sie dort draußen nicht haben möchten.
„Jeder sollte auf Nummer sicher gehen, indem er seine Geräte aktualisiert, aber diejenigen, die in der Öffentlichkeit stehen, wie Aktivisten, Politiker und Journalisten, sollten schneller handeln, da sie zuvor Ziele nationalstaatlicher Spionage geworden sind.
„Das kommerzielle Spyware-Unternehmen NSO Group ist sehr bekannt dafür, Fehler in Apples iOS zu lokalisieren und auszunutzen und dann Malware einzusetzen, um Smartphones zu infizieren, um Daten zu stehlen und Ziele in Echtzeit zu überwachen.
“Vorsicht ist besser als Nachsicht, und daher ist es wichtig, alle Geräte sofort zu aktualisieren, was über Wi-Fi nicht lange dauert.”
Wie hat Apple die Sicherheitslücke entdeckt?
Das Unternehmen muss noch offenlegen, wie die Fehler gefunden wurden, außer „einem anonymen Forscher“ zuzuschreiben.
Es wurde auch nicht gesagt, wo auf der Welt sie verwendet wurden oder wer dies getan hat und zu welchem Zweck.
Apple hat lediglich gesagt: „Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Releases verfügbar sind.“
Brian Higgins, Sicherheitsspezialist bei Comparitech, sagte: „Apple verlässt sich normalerweise auf Software-Updates, um seine Plattformen sicher zu halten, und hofft, dass alle „Bugs“ zwischen den Veröffentlichungen weitgehend unbemerkt bleiben.
“Es ist sehr selten, dass sie so an die Öffentlichkeit gehen, was bedeutet, dass jeder diese Bedrohung ernst nehmen und aktualisieren sollte, sobald er dazu in der Lage ist.”
Was sind Zero-Day-Exploits?
Die beiden Schwachstellen, die Apple am Mittwoch gepatcht hat, stellen den sechsten und siebten „Zero-Day“-Exploit dar, den Apple in diesem Jahr beheben musste.
Hierbei handelt es sich um Software-Schwachstellen, die von Angreifern entdeckt werden, bevor der Anbieter davon Kenntnis erlangt.
Da die Anbieter dies nicht wissen, bedeutet dies, dass es keinen Patch für Zero-Day-Schwachstellen gibt, sodass Angriffe mit größerer Wahrscheinlichkeit erfolgreich sind.
Wie können Sie sich schützen?
Cyber-Sicherheitsexperten haben den Menschen geraten, die betroffenen Geräte dringend zu aktualisieren.
Um Ihr Telefon zu aktualisieren…
Gehen Sie zu Einstellungen > Allgemein > Softwareaktualisierung.
Um Ihren Mac zu aktualisieren…
Gehen Sie zu Systemeinstellungen > Softwareaktualisierung.
Cyber-Sicherheitsexperten haben den Menschen geraten, die betroffenen Geräte dringend zu aktualisieren
Das Update für iOS und iPadOS ist Version 15.6.1
Für MacOS ist es die Version 12.5.1
Für tvOS ist es die Version 15.6
Bei watchOS für Apple Watch Series 3 ist es die Version 8.7.1
Für watchOS für Apple Watch Series 4, 5, SE, 6 und 7 ist es Version 8.7
Apple sagt: „Dieses Update bietet wichtige Sicherheitsupdates und wird allen Benutzern empfohlen.“
Weitere Angaben dazu, wie viele Nutzer von der Schwachstelle betroffen sind, machte das Unternehmen nicht.
Sam Curry, Chief Security Officer bei Cybereason, sagte: „Unabhängig von Apples jüngster Offenlegung einer schwerwiegenden Schwachstelle, die Millionen von iPhones, iPads und Macs betrifft, wäre es nicht ratsam, in Panik zu verfallen.
„Während die Schwachstelle es Angreifern ermöglichen könnte, die volle Kontrolle über ein Gerät zu übernehmen, bleiben Sie ruhig und übernehmen Sie einfach die Kontrolle über Ihre Geräte und laden Sie die von Apple verfügbaren Software-Updates herunter. Mach das und mach weiter.
„Werden wir in einem seltenen Fall herausfinden, wie Bedrohungsakteure die aktuellen Schwachstellen ausnutzen konnten. Befolgen Sie insgesamt die Anweisungen von Apple, wenn Sie glauben, dass Sie infiziert sind, und wenden Sie sich bei Bedarf an Ihre IT-Abteilung am Arbeitsplatz, in der Schule usw., um weitere Informationen zu erhalten.’