Apple blendet derzeit auf dem Sperrbildschirm von iPhones und iPads mit veralteter oder nicht mehr unterstützter iOS- bzw. iPadOS-Version dringende Sicherheitswarnungen ein. Der Hersteller weist ausdrücklich darauf hin, dass aktive Angriffe über Webinhalte laufen, die gezielt auf ungepatchte Systeme ausgerichtet sind – ein Schritt, zu dem Apple nur bei Bedrohungen mit hoher Relevanz greift.
Apple-Sicherheitswarnung: Welche Geräte betroffen sind und was dahintersteckt
Die eingeblendete Meldung lautet sinngemäß, Apple sei bekannt, dass Angriffe auf veraltete iOS-Software stattfinden, einschließlich der auf dem jeweiligen Gerät installierten Version, und dass ein kritisches Update installiert werden müsse, um das Gerät zu schützen. Dass diese Nachricht über den Sperrbildschirm gelegt wird, unterstreicht die Einstufung als Sicherheitsvorfall mit hoher Priorität.
Bereits rund eine Woche vor Beginn dieser Lock-Screen-Warnungen veröffentlichte Apple ein eigenständiges Support-Dokument, in dem Nutzer älterer iOS- und iPadOS-Versionen aufgefordert wurden, so schnell wie möglich zu aktualisieren. Auslöser sind neue Exploit-Kits für iOS mit den Namen Coruna und DarkSword, die laut Sicherheitsforschern in realen Angriffskampagnen über kompromittierte Webseiten eingesetzt werden.
Exploit-Kits Coruna und DarkSword: Angriffe über den Browser
Ein Exploit-Kit ist ein Baukasten aus mehreren Schwachstellenausnutzungen, der es Angreifern ermöglicht, den Infektionsprozess weitgehend zu automatisieren. In der Praxis genügt es, dass ein Nutzer eine manipulierte oder gehackte Webseite besucht. Das Kit prüft dann im Hintergrund die Version von Betriebssystem und Browser und spielt passende Exploits aus – ohne weitere Interaktion des Opfers.
Coruna soll sich laut öffentlich gewordenen Analysen gegen einen breiten Bereich von iOS-Versionen richten, ungefähr von iOS 13.0 bis 17.2.1. DarkSword hingegen wurde dafür entwickelt, Schwachstellen in neueren Releases zu missbrauchen, die als Versionen zwischen iOS 18.4 und 18.7 beschrieben werden. Im letzten Jahr wurden diese Toolsets von unterschiedlichen Akteursgruppen – von klassischen Cyberkriminellen bis hin zu hochentwickelten Angreifern – genutzt, um Downloader, Spyware und weitere Schadsoftware über den Browser nachzuladen.
Verbindung von Coruna zu Operation Triangulation
Das Sicherheitsunternehmen Kaspersky ordnet Coruna der bereits 2023 bekannt gewordenen Spionagekampagne Operation Triangulation zu. Damals wurden komplexe Zero-Click-Exploits in iMessage eingesetzt, um iPhones zu kompromittieren, ohne dass Nutzer Nachrichten öffnen oder Anhänge anklicken mussten – ein Vorgehen, das auch von Forschungsgruppen wie Citizen Lab bei anderen Spyware-Kampagnen beobachtet wurde.
Nach aktueller Einschätzung handelt es sich bei Coruna nicht um eine zufällige Sammlung öffentlicher Exploits, sondern um die Weiterentwicklung eines bestehenden, professionell gepflegten Angriffsframeworks. Das impliziert erhebliche Entwicklungsressourcen und Know-how auf einem Niveau, wie es typischerweise Geheimdiensten oder staatlich unterstützten Gruppen zugeschrieben wird.
Markt für Zero-Day-Exploits und „Demokratisierung“ von iOS-Angriffen
Unklar ist bislang, wie Coruna und DarkSword in die Hände mehrerer Angreifergruppen gelangten. Verschiedene Untersuchungen zum Exploit-Ökosystem deuten auf einen Sekundärmarkt für Zero-Day- und One-Day-Exploits hin: Hochausgereifte, ursprünglich exklusiv für staatliche Stellen oder kommerzielle Spyware-Anbieter entwickelte Schwachstellen werden nach einiger Zeit weiterverkauft oder geleakt.
Die Verfügbarkeit solcher Exploit-Kits und Berichte über Leaks neuerer DarkSword-Versionen nähren die Sorge, dass früher hochgradig exklusive Angriffswerkzeuge breiteren Tätergruppen zugänglich werden. Damit steigt das Risiko, dass gezielte Kampagnen in breitere, halbautomatisierte Massenangriffe auf iPhones und iPads übergehen – mit mobilen Endgeräten als besonders attraktiver, weil allgegenwärtiger Angriffsfläche.
Schutzmassnahmen: Updates, Lockdown Mode und sichere Konfiguration
Die wichtigste Verteidigungsmaßnahme ist die sofortige Installation aller verfügbaren iOS- bzw. iPadOS-Updates. Das gilt insbesondere für Geräte, die längere Zeit nicht aktualisiert wurden oder bereits auf einer vom Hersteller nicht mehr unterstützten Version laufen. In der aktuellen Lage bedeutet das Ignorieren von Systemhinweisen ein bewusst erhöhtes Risiko einer Kompromittierung.
Lockdown Mode als zusätzliche Verteidigungsschicht
Für Nutzer, die aus Hardware- oder Kompatibilitätsgründen nicht auf die jeweils neueste Version wechseln können, empfiehlt Apple – sofern mindestens iOS 16 installiert ist – die Aktivierung des Lockdown Mode. Dieser 2022 eingeführte Hochsicherheitsmodus reduziert die Angriffsfläche drastisch, indem er etwa die Verarbeitung potenziell gefährlicher Inhalte im Browser einschränkt, bestimmte Anhänge und Links blockiert und häufig missbrauchte Funktionen deaktiviert.
Apple gibt an, dass bislang kein erfolgreicher Spyware-Angriff gegen ein Gerät mit aktivem Lockdown Mode öffentlich bekannt geworden ist. Für exponierte Zielgruppen wie Journalistinnen und Journalisten, Menschenrechtsorganisationen, politische Aktivisten oder Mitarbeitende kritischer Infrastrukturen stellt dieser Modus daher eine besonders relevante Schutzoption dar.
Ergänzend sollten Nutzer die automatische Installation von Updates aktivieren, auf inoffizielle Konfigurationsprofile verzichten und keinen Jailbreak durchführen, da letzterer die Sicherheitsarchitektur von iOS gezielt aushebelt und die Angriffsfläche massiv vergrößert. Organisationen sollten Mobile-Device-Management-Lösungen (MDM) einsetzen, um Patchstände zentral zu überwachen, Sicherheitsrichtlinien durchzusetzen und auf neue Schwachstellen zügig reagieren zu können.
Die aktuellen Angriffe mit Coruna, DarkSword und ähnlichen Exploit-Kits verdeutlichen, dass auch die traditionell als vergleichsweise sicher wahrgenommene Apple-Plattform verstärkt ins Visier professioneller Angreifer gerät. Konsequentes Patch-Management, Aufmerksamkeit für Sicherheitsmeldungen und – wo sinnvoll – der Einsatz des Lockdown Mode sind zentrale Bausteine moderner „Cyber-Hygiene“. Wer diese Grundlagen verankert, erschwert es Angreifern erheblich, neue Schwachstellen in skalierbare Angriffswaffen zu verwandeln – und erhöht damit die Resilienz der eigenen digitalen Infrastruktur nachhaltig.
