Besonders kritische Schwachstelle

Anders als bei vielen Angriffen muss der Nutzer den Experten zufolge nicht erst eine Datei im Anhang anklicken. Beim aktuellen Betriebssystem iOS 13 könne die Attacke im Hintergrund ausgeführt werden, beim vorherigen iOS 12 musste der Nutzer dafür die E-Mail öffnen. "Das BSI schätzt diese Schwachstellen als besonders kritisch ein", erklärte deshalb die Behörde, die unter anderem die Kommunikation der Bundesregierung absichert. Zugleich stehen solche Sicherheitslücken hoch im Kurs, weil sie Angreifern nur solange etwas nutzen, wie sie unentdeckt bleiben. Deshalb werden sie meist nur sehr gezielt gegen besonders wertvolle Ziele eingesetzt.

ZecOps zufolge würde ein angegriffener Nutzer lediglich merken, dass die E-Mail-App langsamer laufe - und bei missglückten Attacken könne sie abstürzen. Die Sicherheitsfirma habe im Februar erste Hinweise auf die Angriffe bekommen und seitdem in Kontakt mit Apple gestanden. Während sie Schwachstellen seit September 2012 bestanden hätten, reichten bisher entdeckte Angriffsmechanismen bis Januar 2018 zurück.

Apple will die Schwachstellen mit der nächsten Version seines Mobil-Betriebssystems iOS schliessen. Die Mitte April veröffentlichte Vorab-Ausgabe von iOS 13.4.5 enthält bereits den entsprechenden Software-Code. Einen wirksamen Schutz wird es erst geben, wenn das Update für alle Nutzer verfügbar ist. Zugleich schränkte ZecOps ein, dass für eine erfolgreiche Attacke noch zwei weitere Sicherheitslücken ausgenutzt werden müssten.