Gestern hat Apple ein ungeplantes Update für iOS 9 veröffentlicht. Wie schon bei 9.3.4 handelt es sich um ein Sicherheitsupdate, das Apple in der Update-Beschreibung wichtig aussehen lässt. Wie sich nach der Veröffentlichung herausstellte, ist das Update tatsächlich ziemlich wichtig, denn die behobenen Sicherheitslücken wurden aktiv ausgenutzt.
Ausspionierte iPhones
Bei iOS 9.3.5 handelt es sich um ein Update, das nicht „irgendwelche Sicherheitslücken“ behebt, die ohnehin nur schwer auszunutzen sind. Wie die New York Times berichtet, wurden die Lücken aktiv genutzt. Bislang zielten sie nur auf ganz bestimmte Personengruppen ab, aber was nicht ist, kann ja noch werden. Ein israelisches Unternehmen, genannt NSO Group, hat ein Tool entwickelt, „Pegasus“, das über besagte Lücken eingeschleust wird.
Mit Pegasus kann der Angreifer beinahe die komplette Kontrolle über das Smartphone übernehmen. Text-Nachrichten (SMS, iMessages) können ausgelesen werden, Telefonate mitgehört und Kontaktdaten ausgelesen werden. Selbst vor Passwörtern, Ortungsdaten und Tonaufnahmen macht das Tool nicht halt. Ahmed Mansoor, ein Menschenrechtsaktivist aus den Vereinigten Arabischen Emiraten, bekam eine SMS, die ihn in die Falle locken sollte. Hätte er den Link angeklickt, wäre die Software installiert worden. Er klickte jedoch nicht und wandte sich stattdessen an Citizen Lab, die der Sache auf den Grund gingen.
Bei Apple gibt man sich gewohnt nüchtern und erläutert einige wenige technische Details zu den Lücken. Wie Zac Hall, Autor für 9to5mac, in der Nacht herausfand, wurden die drei Lücken auch mit der iOS-10-Beta geschlossen, die vergangene Woche am Freitag – vermutlich ebenfalls außer der Reihe – veröffentlicht wurde.