Mit dem Update 12.4 des mobilen Betriebssystems iOS für iPhone und iPad stopft Hersteller Apple sechs teilweise kritische Sicherheitslücken. Es lohnt sich also für alle Nutzer, die Aktualisierung so schnell wie möglich zu installieren. Welche Version derzeit installiert ist, sieht man unter Einstellungen > Allgemein > Info. Vor der Installation des Updates sollte ein Backup der Daten gemacht werden.

Um die Lücken auszunutzen und das Gerät zu übernehmen, brauchen die Angreifer keinen direkten Kontakt zum Handy. Interaktionslos heißt das im Fachjargon. Sie schicken ihren Opfern zum Beispiel einfach eine manipulierte Nachricht und warten, bis diese geöffnet wird.

«Exorbitante Preise»

Auf dem Schwarzmarkt sind solche Lücken extrem wertvoll. Sie sind der «heilige Gral aller Angreifer», schreibt das Techportal Zdnet.com. Da die Handys damit ohne das Wissen der Besitzer gehackt werden können. Zu finden sind sie meist im Arsenal von Hackern oder in Überwachungssoftware. Auf dem Schwarzmarkt hätten diese Schwachstellen einen Preis zwischen fünf und zehn Millionen Dollar erzielt, schreibt Zdnet.com.

«Die Preise für Schwachstellen werden maßgeblich durch die Popularität des angegriffenen Produkts getrieben», sagte IT-Sicherheitsexperte Marc Ruef von Scip schon 2016. Die Firma Scip AG beobachtet den Markt seit bald 20 Jahren. «Gerade iOS-Lücken werden teilweise zu exorbitanten Preisen gehandelt», so Ruef.

Vortrag an Hackerkonferenz

Und genau hier liegt auch das Problem. Denn das Missverhältnis zwischen den Schwarzmarktpreisen und den sogenannten Bug-Bounty-Honoraren, also der Belohnung für eine Meldung beim Hersteller, ist extrem. Während Apple bis zu 200.000 Dollar für gemeldete Lücken zahlt, sind die Preise auf dem Schwarzmarkt um ein Vielfaches höher. Dankbare Abnehmer der Lücken sind auch «Big Player», wie der Sicherheitsexperte sagt. «Diese können und wollen im Exploit-Handel sehr viel Geld ausgeben», so Ruf. In erster Linie Nachrichtendienste würden unter Umständen mit allen Mitteln versuchen, an die wirklich wichtigen Exploits zu kommen.

Entdeckt wurden die aktuellen iOS-Lücken aber nicht etwa von dubiosen Hackern, sondern von den Sicherheitsforschern Natalie Silvanovich und Samuel Groß von Googles Projekt Zero. An der Hackerkonferenz Black Hat nächste Woche in Las Vegas werden sie ihre Entdeckung genauer vorstellen.

(L'essentiel/tob)