Apple hat eine offizielle Sicherheitswarnung für iPhone-Nutzer veröffentlicht, die noch veraltete iOS-Versionen einsetzen. Laut dem Sicherheitsbulletin werden Schwachstellen in iOS derzeit gezielt über den Browser angegriffen, wobei leistungsfähige Exploit-Kits namens Coruna und DarkSword zum Einsatz kommen. Die Folge sind bereits beobachtete Kompromittierungen von Geräten und die heimliche Entwendung sensibler Daten.
Warum veraltete iOS-Versionen ein akutes Sicherheitsrisiko sind
Die aktuelle Angriffswelle basiert auf speziell präparierten Webseiten, die bösartigen Web-Content ausliefern. Es genügt, einen manipulierten Link anzuklicken oder eine kompromittierte, eigentlich vertrauenswürdige Seite zu besuchen. Auf nicht gepatchten iPhones startet dann eine Kette von Exploits, die im schlimmsten Fall in der Installation von Spionagesoftware und einem vollständigen Verlust der Vertraulichkeit der auf dem Gerät gespeicherten Daten endet.
Apple betont, dass die zugrunde liegenden Schwachstellen in den aktuell unterstützten iOS-Versionen bereits behoben sind. Das Unternehmen hat Sicherheitsupdates veröffentlicht, die die von Coruna und DarkSword ausgenutzten Lücken schließen und die Exploit-Ketten effektiv unterbrechen. Nutzer, die die neueste verfügbare iOS-Version installiert haben, müssen laut Apple derzeit keine zusätzlichen Maßnahmen ergreifen.
Aus Sicht der IT-Sicherheit bestätigt dieser Vorfall erneut, dass regelmäßige Software-Updates die wirksamste Verteidigungslinie gegen Zero-Day-Exploits bleiben. Branchenreports zur IT-Sicherheit weisen seit Jahren darauf hin, dass ein erheblicher Teil erfolgreicher Angriffe auf bekannten, aber ungepatchten Schwachstellen beruht. Mobile Endgeräte bilden hier keine Ausnahme.
Exploit-Kits Coruna und DarkSword: Automatisierte Angriffe auf iOS
Coruna und DarkSword gehören zur Klasse der Exploit-Kits. Dabei handelt es sich um vorkonfigurierte Angriffswerkzeuge, die Schwachstellen vollautomatisch ausnutzen. Das Kit erkennt beim Seitenaufruf unter anderem die iOS-Version und den Browser, wählt den passenden Exploit aus und führt diesen im Hintergrund aus, sofern das Gerät nicht auf dem aktuellen Patch-Stand ist.
In den beobachteten Kampagnen nutzen die Angreifer mindestens zwei bislang wenig dokumentierte Exploits für iOS, die eine Ausführung von beliebigem Code (Remote Code Execution) über den Browser ermöglichen. Gelingt dies, können Angreifer unter anderem Authentifizierungs-Tokens auslesen, auf Nachrichten, E-Mails, Anruflisten und teilweise auch auf im System gespeicherte Zugangsdaten zugreifen. Damit wird der Weg zu Kontoübernahmen und weiterführenden Angriffen geebnet.
Watering-Hole-Angriffe: Infektion über vertraute Webseiten
Die aktuelle Kampagne nutzt das Muster sogenannter Watering-Hole-Angriffe. Anstatt massenhaft Phishing-Mails zu versenden, kompromittieren die Angreifer Webseiten, die von der anvisierten Zielgruppe regelmäßig besucht werden – etwa Nachrichtenportale, Branchenwebseiten oder Foren. Nutzer rufen diese Seiten in gutem Glauben auf und können bereits beim einfachen Laden der Seite angegriffen werden.
Diese Angriffstechnik ist besonders kritisch, weil sie keine aktiven Handlungen seitens des Opfers erfordert, wie die Installation unbekannter Apps. Eine einzige, aktuelle Schwachstelle im Browser oder in iOS reicht aus, um ein Gerät bei einem einzigen Besuch zu kompromittieren. Klassische Empfehlungen wie „keine verdächtigen Anhänge öffnen“ reichen hier allein nicht aus, wenn Sicherheitsupdates fehlen.
Von staatlichen Spionageprogrammen zu breit zugänglichen iOS-Exploits
Nach Einschätzung von Sicherheitsanbietern wie iVerify wurden Exploits dieser Qualität für iOS früher vor allem im Rahmen staatlicher oder staatlich unterstützter Spionageprogramme eingesetzt, typischerweise gegen klar definierte, hochrangige Ziele. Aktuelle Beobachtungen deuten jedoch darauf hin, dass sich dieses Bild ändert.
Laut iVerify-Produktverantwortlichem Spencer Parker zeigt die schnelle Verbreitung der Exploits zwischen verschiedenen Gruppen und Ländern, dass „Werkzeuge auf Nation-State-Niveau zunehmend über sekundäre Märkte auch weniger versierten Akteuren zugänglich werden“. Damit werden Angriffe auf mobile Endgeräte zu einem breiten Massenphänomen und betreffen nicht mehr nur Regierungen und Konzerne, sondern verstärkt auch mittelständische Unternehmen.
Konkrete Risiken für Unternehmen und Privatnutzer
Für Organisationen bedeuten solche iOS-Schwachstellen potenziellen unautorisierten Zugriff auf geschäftskritische Kommunikation wie E-Mails, Messenger-Chats, interne Portale und Cloud-Dokumente. Besonders im verbreiteten BYOD-Szenario (Bring Your Own Device) wird ein kompromittiertes Privattelefon schnell zum Einfallstor in die Unternehmensinfrastruktur.
Auch für Privatpersonen sind die Folgen gravierend. Angreifer können SMS und Push-Benachrichtigungen abfangen und so zwei- oder mehrstufige Anmeldemechanismen umgehen. Gestohlene Passwörter und Schlüssel erlauben Kontoübernahmen bei Online-Banking, sozialen Netzwerken und anderen Diensten. Da viele dieser Aktivitäten im Hintergrund stattfinden, bemerken Betroffene den Angriff häufig erst, wenn bereits finanzieller oder reputativer Schaden eingetreten ist.
Praxisnahe Schutzmaßnahmen für iPhone-Nutzer und Unternehmen
1. iOS-Version prüfen und sofort aktualisieren
Öffnen Sie Einstellungen → Allgemein → Softwareupdate und installieren Sie die letzte verfügbare iOS-Version. Apple weist ausdrücklich darauf hin, dass nur aktualisierte Geräte zuverlässig vor den derzeit bekannten Coruna- und DarkSword-Angriffen geschützt sind.
2. Automatische Updates aktivieren
Aktivieren Sie in den iOS-Einstellungen die Option für automatische Updates, um die Zeitspanne zwischen Veröffentlichung eines Patches und dessen Installation zu minimieren. Gerade bei dauerhaft online befindlichen Smartphones gehört dies zu den grundlegenden Maßnahmen der digitalen Hygiene.
3. Jailbreaks und inoffizielle Firmware vermeiden
Jailbreaks und nicht autorisierte Firmware-Versionen erhalten in der Regel keine zeitnahen Sicherheitsupdates und sind daher ein besonders leichtes Ziel für Exploit-Kits. Wer Wert auf Sicherheit legt, sollte strikt bei der offiziellen, von Apple gepflegten iOS-Version bleiben.
4. Unternehmen: MDM/EMM einsetzen und Mindestversionen erzwingen
Organisationen sollten Mobile-Device-Management- oder Enterprise-Mobility-Management-Lösungen (MDM/EMM) nutzen, um eine Mindest-iOS-Version für alle Geräte mit Zugriff auf Unternehmensressourcen durchzusetzen. Zusätzlich ermöglichen solche Plattformen die zentrale Durchsetzung von Sicherheitsrichtlinien, das Sperren kompromittierter Geräte und bei Bedarf ein Remote-Wipe sensibler Daten.
5. Sicherheitsbewusstsein für mobile Angriffe stärken
Auch wenn die aktuelle Angriffswelle primär über den Browser läuft, bleibt Schulung ein wichtiger Baustein. Nutzer sollten lernen, ungewöhnliche Weiterleitungen, unerwartete Pop-ups, wiederholte Passwortabfragen oder plötzliche Performance-Einbrüche als potenzielle Indikatoren für einen Angriff zu erkennen – ohne sich jedoch in falscher Sicherheit zu wiegen, solange Updates fehlen.
Die Kampagne rund um Coruna und DarkSword verdeutlicht, wie schnell ehemals exklusives Spezialwerkzeug in ein breites Arsenal von Cyberkriminellen übergeht. Wer iPhones, iPads oder andere Apple-Geräte im privaten oder beruflichen Umfeld einsetzt, sollte mobile Sicherheit nicht mehr als Randthema betrachten. Jetzt ist der richtige Zeitpunkt, die iOS-Einstellungen zu überprüfen, Updates nachzuholen, automatische Aktualisierungen zu aktivieren und in Unternehmen klare Richtlinien für den sicheren Einsatz mobiler Endgeräte zu etablieren – bevor die nächste Angriffswelle an die Tür klopft.
