Mit dem neuen Update schließt Apple eine gefährliche Sicherheitslücke, die bereits ausgenutzt wird.
Unmittelbar vor der großen Herbst-Keynote, auf der mit großer Wahrscheinlichkeit das iPhone 13 und die Apple Watch 7 vorgestellt werden , hat Apple iOS 14.8 und iPadOS 14.8 veröffentlicht. Besitzer von iPhones und iPads sollten das Software-Update unbedingt installieren. Es schließt nämlich eine Sicherheitslücke, über die Nachrichten in Apples Chatdienst iMessage ausgespäht werden können.
Schwachstelle wird seit Monaten ausgenutzt
Forscher der Organisation Citizen Lab stießen auf die Schwachstelle nach eigenen Angaben bei der Analyse des iPhones eines saudi-arabischen Aktivisten. Das Gerät sei mit der Überwachungssoftware " Pegasus " der israelischen Firma NSO infiziert gewesen, berichtete Citizen Lab. Laut Apples offiziellem Support-Dokument schließen die veröffentlichten Software-Updates diese gefährliche Sicherheitslücke. Damit der Schutz greift, müssen die Aktualisierungen von den Nutzern installiert werden. Die Schwachstelle wurde nach Einschätzung von Citizen Lab mindestens seit Februar 2021 ausgenutzt.
Zero-Day-Exploit
Bei der Sicherheitslücke handelt es sich laut den Forschern um einen sogenannten Zero-Day-Exploit. So werden Schwachstellen genannt, die weder dem Anbieter der Software noch der Öffentlichkeit bekannt sind und deshalb heimlich genutzt werden können. Sie werden unter anderem auch von Geheimdiensten gezielt gesucht und für Überwachungsmaßnahmen eingesetzt. Solche Schwachstellen gelten deshalb als besonders wertvoll und werden meist sehr gezielt gegen einzelne Zielpersonen verwendet.
Apple zufolge kann die Schwachstelle mit Hilfe einer präparierten PDF-Datei ausgenutzt werden. Citizen Lab hatte den Konzern nach eigenen Angaben vergangene Woche auf die Sicherheitslücke hingewiesen.
Kritik an NSO
NSO war zuletzt Mitte Juli ins Visier der Kritik geraten - u.a. auch vom WhatsApp-Chef
. Ein internationales Journalistenkonsortium berichtete, dass mit der "Pegasus"-Software auch Oppositionelle und Reporter ausgespäht worden seien. Damals hieß es, dass auf 37 Smartphones von Journalisten, Menschenrechtlern, deren Familienangehörigen sowie Geschäftsleuten Spuren erfolgreicher oder versuchter Angriffe entdeckt worden seien. NSO entgegnete wie bereits zu früheren ähnlichen Vorwürfen, Pegasus werde "ausschließlich an Strafverfolgungsbehörden und Geheimdienste von geprüften Regierungen verkauft, mit dem alleinigen Ziel, durch Verhinderung von Verbrechen und Terrorakten Menschenleben zu retten".