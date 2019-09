Apple und Google streiten sich über das Ausmaß eines Massenhacks auf iPhone-Nutzer. Das Sicherheitsteam Project Zero des Suchmaschinenriesen hatte in der vergangenen Woche einen bislang beispiellosen Angriff auf iOS-User mit Hilfe komplexer Exploit-Chains aufgedeckt. Dabei reichte es aus, mit seinem iPhone bestimmte Websites zu besuchen, um sich ein bösartiges "Implant" einzufangen, das nahezu alle wichtigen Daten des Geräts absaugen konnte. Angriffsziel waren dabei offenbar vor allem User aus der uigurischen Gemeinschaft in China, was darauf hindeutet, dass der chinesische Staat hinter dem Angriff stecken könnte.

Apple reagiert verspätet

Apple hatte zum Wochenende nach mehrtägigem Schweigen ein kurzes Statement veröffentlicht, in dem es heißt, es habe keine "massenhafte Ausnutzung" der ungepatchten Lücken gegeben. Der iPhone-Hersteller widersprach Googles Sicherheitsforschern und versicherte, dass es sich bei dem Vorgang nicht um einen Massen-Exploit handelte, sondern um einen eng fokussierten Angriff. Dieser richtete sich gegen "weniger als ein Dutzend" Webseiten, die sich auf Inhalte aus der uigurischen Gemeinschaft konzentrierten. Zudem glaubt man bei Apple, die Angriffswelle sei nur über zwei Monate gelaufen.

Google hatte wiederum ermittelt, dass es mindestens um einen Zeitraum von zwei Jahren ging, zudem seien die Betriebssysteme iOS 10, 11 und 12 betroffen gewesen, inklusive sich anpassender Exploit-Chains. Apple betonte, man habe die Lücken innerhalb von zehn Tagen behoben – und damit schon vor der Benachrichtigung durch Google angefangen.

Sicherheitsexperten kritisieren Apple

Google sieht die Sache anders. In einer Stellungnahme vom Sonntag heißt es, man stehe zu seiner ausführlichen Untersuchung, die sich auf die technischen Aspekte [der iPhone-Lücken] fokussiere. Man werde auch weiterhin mit Apple und anderen führenden Firmen zusammenarbeiten, "damit die Menschen online sicher bleiben".

Apple hatte Google unter anderem vorgeworfen, "Angst zu sähen". Freie Entwickler und Sicherheitsexperten kritisierten das Statement. So schrieb der Infosec-Autor Lorenzo Franceschi-Bicchierai auf Twitter, er habe "nie ein selbstgefälligeres Statement nach einem Einbruch" gesehen. Der renommierte Sicherheitsexperte Bruce Schneier schrieb, der Vorgang "verändere quasi alles", was man bislang zum Thema iPhone-Hacking wisse. Die Annahme, dass ein massenweise eingesetzter Exploit schnell entdeckt und gepatcht würde, ist seiner Meinung nach mittlerweile nicht mehr zutreffend. "Bei dieser Operation wurden vierzehn Zerodays ausgenutzt – und das wahllos." (bsc)