7 Sicherheitslücken, Hacks und Schwachstellen von Apple, von denen Sie nichts wussten

Sicherheitsvorfälle sind Apple nicht fremd, seien es Hacks, Sicherheitsverletzungen oder Schwachstellen. Möglicherweise sind Ihnen diese verschiedenen Probleme nicht bewusst, und einige stellen möglicherweise dennoch ein Risiko für Sie dar. Über welche Hacks, Verstöße und Schwachstellen von Apple müssen Sie also Bescheid wissen?

Apples Hacks und Sicherheitsverletzungen

Apple hat im Laufe der Jahre eine ganze Reihe von Hacks erlebt, von denen einige schwerwiegender waren als andere. Beginnen wir mit einem Hack, der vor über einem Jahrzehnt stattfand.

1. XCodeGhost-Hack (2015)

Im Jahr 2015 waren 128 Millionen iPhone-Nutzer von einem Malware-basierten Hack betroffen. Hacker nutzten eine bösartige Version von XCode, der Entwicklungsumgebung von Apple für alle seine Betriebssysteme, einschließlich iOS. Mit dieser Malware namens XCodeGhost gelang es Hackern, rund 50 Apps aus dem Apple App Store zu kompromittieren. Diejenigen, die die betroffenen Apps heruntergeladen hatten, waren anfällig für Hackerangriffe, und Schätzungen zufolge waren damals etwa 500 Millionen Benutzer gefährdet.

Obwohl diese Mammutschätzung in Wirklichkeit etwas geringer ausfiel, zeigten Dokumente, die während Apples Gerichtsstreit mit Epic Games vorgelegt wurden, dass immer noch 128 Millionen Menschen betroffen waren, darunter 18 Millionen Nutzer in den USA (wie von ).Sicherheitsangelegenheiten

Besonders umstritten an diesem Vorfall ist, dass Apple damals beschlossen hatte, gefährdete Benutzer nicht über den Angriff zu informieren. Es dauerte weitere sechs Jahre, bis die Öffentlichkeit sich der wahren Natur des Hacks bewusst wurde, der während des oben erwähnten Gerichtsverfahrens zwischen Apple und Epic Games ans Licht kam.

2. Pegasus-Spyware (ab 2016)

Die berüchtigte Pegasus-Spyware kam erstmals 2016 auf den Markt, erlangte jedoch im Jahr 2021 weltweite Bekanntheit, als sie dazu verwendet wurde, iOS für gezielte Angriffe auszunutzen. Pegasus wurde von der israelischen NSO Group entwickelt, einer umstrittenen Organisation, die in der Vergangenheit schon oft für Schlagzeilen in den Sicherheitsnachrichten gesorgt hat. Hacker der Regierung nutzen diese Spyware nun, um ihre eigenen Cyberkriminalität zu begehen, daher ist der Name für Cybersicherheitsexperten ein Begriff. Tatsächlich hat die NSO Group ihre Pegasus-Spyware an zahlreiche Regierungen und Staaten verkauft, darunter Indien und Mexiko.

Bei diesem Apple-Exploit wurde eine iOS-Sicherheitslücke ausgenutzt, um Pegasus-Spyware auf iPhones auszuführen. In einer offiziellen Apple-Erklärung wurde erklärt, dass Funktionen wie Sperrmodus genutzt werden könnten Schützen Sie sich vor solchen Angriffen sowie durch sichere Passwörter und Software-Updates. Es wurde außerdem angekündigt, dass Bedrohungsbenachrichtigungen verwendet werden, um Benutzer zu warnen, die möglicherweise von staatlich geförderten Angreifern angegriffen wurden.

3. SolarWinds (2021)

Der SolarWinds-Angriff erschütterte die Technologie- und Cybersicherheitsbranche im Jahr 2021, und Apple konnte sich den Schockwellen nicht entziehen.

Während des SolarWinds-Angriffs nutzten Hacker eine Zero-Day-Code-Schwachstelle in iOS 14 aus, um iPhones zu infiltrieren. Durch die Schwachstelle nutzten Hacker bösartige Domänen, um iPhone-Nutzer auf Phishing-Seiten umzuleiten. Dies wiederum ermöglichte es den Angreifern, Benutzeranmeldedaten zu stehlen, die dann entweder zum Hacken von Konten oder zum Weiterverkauf an andere illegale Akteure auf illegalen Marktplätzen verwendet werden konnten.

4. Apple- und Metadatenverletzung (2021)

Der jüngste Apple-Sicherheitsvorfall ereignete sich Mitte 2021, als Apple- und Meta-Mitarbeiter von Hackern ausgetrickst wurden, die sich als Strafverfolgungsbeamte ausgaben. Bei dem Angriff drangen Hacker zunächst in die Konten und Netzwerke von Strafverfolgungsbehörden ein und schickten dann gefälschte dringende Datenanfragen an die Mitarbeiter der beiden Technologiegiganten, in denen sie zu einer schnellen Reaktion drängten. Als Reaktion auf diese scheinbar offizielle Anfrage wurden die IP-Adressen, Privatadressen und Kontaktnummern der Benutzer bereitgestellt.

Es ist wichtig zu beachten, dass Apple- und Meta-Mitarbeiter aufgrund einer zufälligen Anfrage keine Informationen bereitgestellt haben. Um die Anfrage zu versenden, wurden von den Angreifern seriöse Polizeisysteme gehackt, was die Erkennung erschwerte.

Apples Schwachstellen

Die verschiedenen Softwareprogramme von Apple, einschließlich seiner Betriebssysteme, können Opfer von Code-Schwachstellen werden. Was sollten Sie also beachten?

1. Kernel- und WebKit-Schwachstellen (2022)

Im August 2022 gab Apple bekannt, dass es eine Kernel-Schwachstelle (offiziell bekannt als CVE-2022-32894) gefunden hat, die die Ausführung ermöglichte von beliebigem Code mit Kernel-Privilegien. Apple hat CVE-2022-32894 mit macOS Monterey gepatcht. Wenn Sie dieses Update also manuell installiert haben oder eine neuere macOS-Version als Monterey verwenden, sollten Sie startklar sein.

Neben dieser Schwachstelle wurde auch ein Fehler im Apple WebKit entdeckt. Dieser Fehler birgt auch das Risiko der Ausführung willkürlichen Codes aufgrund bösartiger Webinhalte. Wie die oben erwähnte Sicherheitslücke ist auch der WebKit-Fehler für macOS Monterey längst behoben.

2. Blastpass-Schwachstellen (2023)

Im September 2023 wurde festgestellt, dass zwei Zero-Day-Sicherheitslücken von Apple von Angreifern ausgenutzt wurden. Die Schwachstellen, offiziell bekannt als CVE-2023-41064 und CVE-2023-41061, in seiner iOS-Software.

Bei CVE-2023-41064 handelte es sich um eine Pufferüberlauf-Schwachstelle, die die Ausführung willkürlichen Codes ermöglichte und alle iPhones ab Modell 8 mit iOS-Version 16.6 oder neuer betreffen konnte. Auch bestimmte iPad-Modelle könnten von dieser Schwachstelle betroffen sein. Bei CVE-2023-41061, das kurz nach der ersten der beiden Schwachstellen entdeckt wurde, handelte es sich um ein Validierungsproblem, das durch bösartige Anhänge missbraucht werden konnte.

Bei gleichzeitiger Nutzung bildeten diese beiden Schwachstellen eine Exploit-Kette namens Blastpass und waren Teil der Lieferkette für die Pegasus-Spyware der NSO Group, wie von The Citizen Lab< berichtet /span> bezeichnet.Zero-Click-Schwachstellen. Blastpass könnte zum Hacken von iPhones und iPads verwendet werden, ohne dass das Opfer überhaupt mit schädlichen Webseiten oder Kommunikationen interagieren muss. Diese werden auch als

Mithilfe des Sperrmodus von Apple kann die Kette jedoch gestoppt werden, sodass eine Infektion Ihres Geräts verhindert wird. Es gibt auch einen Patch für die beiden ausgenutzten Schwachstellen.

3. Foundation-Schwachstellen (2023)

Anfang 2023 wurden drei Zero-Day-Schwachstellen von Apple bekannt, die zahlreiche Apple-Betriebssysteme gefährdeten, darunter iOS, iPadOS und macOS. Zwei der Schwachstellen wurden im Foundation-Framework von Apple gefunden, das die grundlegende Funktionalität und Interoperabilität für Apple-Apps bereitstellt. Diese drei Schwachstellen, bekannt als CVE-2023-23530, CVE-2023-23531 und CVE-2023-23520 gaben Angreifern die Möglichkeit, Schadcode aus der Ferne auf infizierten Geräten auszuführen.

Im Februar 2023 hat Apple die drei Sicherheitslücken behoben, sodass Sie ihnen nicht länger ausgesetzt sein sollten, wenn Sie Ihr Apple-Gerät regelmäßig aktualisiert haben.

Apple ist nicht immun gegen Hacks und Schwachstellen

Die Software und Hardware von Apple sind sehr sicher, dennoch können Sie als Apple-Benutzer Risiken und Cyberangriffen ausgesetzt sein. Unabhängig davon, ob Sie ein Apple-Telefon, -Tablet, einen Computer oder eine Uhr verwenden, gehen Sie niemals davon aus, dass Sie immun gegenüber Sicherheitsproblemen sind. Es ist immer am besten, sich über die neuesten Apple-Schwachstellen, Hacks und Sicherheitsverletzungen auf dem Laufenden zu halten, damit Sie sich besser schützen und auf zukünftige Vorfälle vorbereiten können.