Googles Hacker-Abteilung Project Zero will Sicherheitslücken finden und dokumentieren, bevor andere es tun und sie ausnutzen. Doch nun haben die Elite-Hacker eine reale Attacke aufgedeckt, die den möglicherweise bisher massivsten Hack von iPhones darstellt.

Anfang des Jahres, heißt es in einem Blogpost von Project Zero , habe Googles Threat Analysis Group (TAG) eine "kleine Sammlung gehackter Websites" entdeckt, die mehr als zwei Jahre lang Spionagesoftware auf iPhones verbreitet hatten, schätzungsweise Tausende Male pro Woche. Um infiziert zu werden, reichte es, wenn die Opfer eine der manipulierten Websites mit ihrem Apple-Handy aufriefen. Man war selbst dann nicht geschützt, wenn man die zum jeweiligen Zeitpunkt aktuelle Version von iOS 10, 11 oder 12 installiert hatte.

Fünf verschiedene, jeweils komplette und einzigartige Exploit-Ketten seien im Laufe der Zeit auf den Websites zum Einsatz gekommen, schreibt Ian Beer von Project Zero. Im Prinzip bedeutet das: Fünffacher Super-GAU für iPhone-Besitzer - und Apple.

Diese Angriffstechniken wären Millionen wert gewesen

Denn eine Kette von Exploits - also von Schadsoftware, die eine Sicherheitslücke ausnutzt - hilft einem Angreifer, nach der ersten Infektion die Sicherheitsmaßnahmen des betroffenen Geräts zu umgehen. Ein Beispiel wäre der Ausbruch aus einer sogenannten Sandbox, die verschiedene Apps und Bereiche voneinander trennt und die Ausbreitung von Malware eigentlich verhindern soll.

Schon ein einzelner Exploit kann Millionen von Dollar wert sein, wenn er exklusiv ist und dem betroffenen Hardware- oder Softwarehersteller unbekannt. Zero-Day-Exploit heißt so etwas, weil der Hersteller bei einem Angriff damit null Tage Zeit hat, eine Abwehrmethode zu finden. Exploit-Händler verkaufen sie an Strafverfolger und Geheimdienste, Sicherheitsforscher können sie aber auch den Herstellern melden und dafür eine Belohnung kassieren.

Exploits gegen iPhones sind vergleichsweise selten, erst recht, wenn sie gegen die jeweils aktuelle Betriebssystemversion funktionieren, dem Opfer also keine Chance zur Gegenwehr lassen. Ganze Exploit-Ketten sind dementsprechend wertvoll. Die von Project Zero beschriebenen fünf Ketten mit insgesamt 14 Sicherheitslücken, von denen einige zur Zeit ihres Einsatzes Zero-Days waren, wären manchen Händlern und Käufern sicherlich eine insgesamt achtstellige Summe wert gewesen.

Die für Betroffene nicht zu erkennende Spionagesoftware, die auf den betroffenen iPhones installiert wurde, konnte sich Zugriff auf die Messenger-Datenbanken etwa von WhatsApp, Telegram und Apples iMessages verschaffen, also komplette Chats auslesen. Sie konnte Daten aus beliebigen Apps an den Server der Angreifer schicken, also zum Beispiel E-Mails aus der Gmail-App, Kontaktlisten und Fotos. Sie konnte den GPS-basierten Standort des Opfers in Echtzeit übermitteln. Und sie konnte den sogenannten Schlüsselbund auslesen, in dem viele Passwörter, Zugangstoken und kryptografische Zertifikate gespeichert sind.

Dauerhaft konnte sich das Implantat aber nicht auf den iPhones festsetzen. Nach einem Neustart war es gelöscht - bis zum nächsten Besuch einer der manipulierten Websites. Für das Abgreifen von Zugangsdaten und Dateien reichte aber auch schon eine einmalige Infektion.

Auch Apple-Produkte sind nicht unhackbar

Angesichts dieser Fähigkeiten stellt sich die Frage, ob die Täter tatsächlich unterschiedslos beliebige iPhone-Nutzer angriffen, ohne zu wissen, ob es sich um lohnende Ziele handelte. Wäre es ihnen nur um Geld gegangen, hätten sie sich selbst in fremden Konten und Chats umsehen oder die Zugänge weiterverkaufen können. Sie hätten ihre Opfer auch mit den erbeuteten Daten und Fotos erpressen können. Doch dafür so mächtige Exploits zu verwenden, wäre zumindest reichlich ungewöhnlich.

Theoretisch hätte die jahrelange Kampagne auch ein Versuch der politischen, militärischen oder Wirtschaftsspionage sein können. Es ist erstens unklar, ob nur die fünf von Google entdeckten Websites die Schadsoftware verbreiteten, oder auch andere Seiten. Zweitens verrät Project Zero nicht, um welche Websites es sich handelte. Falls sie sie an ein bestimmtes Publikum gerichtet haben, zum Beispiel an Soldaten, spräche das eher für zwar recht breit gestreute, inhaltlich aber gezielte Kampagne.

Bisher gibt es nur Andeutungen von Google, wer die Opfer gewesen sein könnten. Im Blogpost heißt es zum einen: "Um zum Ziel (einer solchen Kampagne - Anm. d. Red.) zu werden, könnte es schon reichen, einfach in einer bestimmten Region geboren oder Teil einer bestimmten ethnischen Gruppe zu sein". Etwas weiter unten ist die Rede von "der Fähigkeit, ganze Bevölkerungen ins Ziel zu nehmen und in Echtzeit zu überwachen". Zum anderen listet Project Zero im Abschnitt über die Details zum Implantat jene Apps auf, die immer ausgelesen werden. In dieser Liste finden sich auffällig viele Dienste, die in China populär sind. Auf Twitter spekulieren Experten deshalb, dass die Kampagne gegen bestimmte ethnische Minderheiten in China gerichtet war.