Apple hat am Donnerstag ein wichtiges Sicherheits-Update für iPhone, iPad und Mac veröffentlicht. Wer es nicht bereits getan hat, sollte es zeitnah installieren. Grund dafür sind mehrere kritische Sicherheitslücken, die laut IT-Sicherheitsforschern von Google bereits aktiv ausgenutzt werden, um iPhones, iPads und Mac-Computer zu hacken.
Konkret befähigt ein gravierender Fehler in Apples-Betriebssystemen böswillige App-Entwickler, ihre Rechte auszuweiten. Eine App hat so auf mehr Daten Zugriff, als sie haben sollte. Ein zweiter Fehler, der nur iOS betrifft, ermöglicht das Ausführen von Schadcode. Hacker könnten somit iPhone- und iPad-Nutzer, die ihre Geräte nicht aktualisieren, ausspionieren.
Etwa eine Woche nach Bekanntwerden einer Fehlfunktion in der iPhone-App Facetime hat Apple das Sicherheits-Update nachgeliefert. Mit iOS 12.1.4 soll es nicht mehr möglich sein, Nutzer über das Mikrofon zu belauschen.
Das Problem war Ende Januar bekannt geworden. Ein User hatte ein Video auf Twitter gepostet, in dem gezeigt wird, wie die Facetime-App für Lauschangriffe missbraucht werden könnte. Durch einen Software-Fehler konnte mit einem einfachen Anruf das Mikrofon des Angerufenen aktiviert werden, noch bevor dieser abhob.
Apple schaltete daraufhin die Gruppenchat-Funktion vorübergehend aus, um Zeit für eine Lösung zu gewinnen. Um Facetime wieder uneingeschränkt nutzen zu können, müssen User das Update auf 12.1.4 einspielen. Auch für Mac-Computer gibt es mit macOS Mojave 10.14.3 eine Aktualisierung.
Gruppenanrufe mit iOS 12.1 bis 12.1.3 bleiben blockiert, damit die Schwachstelle dort nicht mehr zum Belauschen ausgenutzt werden kann.
Neben der Facetime-Sicherheitslücke ist laut Apple auch ein bislang unbekannter Fehler in der Live-Foto-Funktion gefunden worden. Mit der Funktion können User während eines Videotelefonats Live-Fotos – also kurze Videos – aufnehmen. Welche Gefahr genau für die User bestand, teilte Apple nicht mit. Gegenüber US-Medien sagte der Konzern nur, dass auch die Live-Fotos-Funktion von Facetime in älteren Versionen von iOS und macOS blockiert bleibe.
Apple hat zudem ein Sicherheits-Update für die hauseigene Kurzbefehle-App freigegeben. Dies soll verhindern, «dass manipulierte Shortcuts auf persönliche Nutzerdaten in Systemdateien Zugriff erhalten», schreibt heise.de.
Der Entdecker der Facetime-Schwachstelle soll eine Belohnung erhalten, versprach Apple. In den USA droht dem Konzern dennoch juristischer Ärger. Ein Anwalt aus Texas klagt gegen Apple. Durch den Software-Fehler hätten vertrauliche Informationen abgehört werden können.
Google hatte bereits im November eine andere Lücke in Facetime gefunden, durch die Hackern allein durch einen manipulierten Videoanruf iPhones, iPads und Macs zum Absturz bringen oder gar übernehmen konnten.
Die aktuellen Lücken wurden von einem anonymen Sicherheitsforscher, mehreren Google-Sicherheitsforschern sowie im Fall des Facetime-Bugs von einem US-Teenager an Apple gemeldet.
Mit dem vorhergehenden System-Update auf iOS 12.1.3 hatte Apple Ende Januar eine Sicherheitslücke geschlossen, durch die Angreifer aus der Ferne das iPhone oder iPad knacken und sich Zugriff aufs Gerät hätten verschaffen können.
Verwendete Quellen:
(str/t-online.de)