Sicherheitslücke gefährdet iPhones
Checkm8 Ein Fehler macht fast alle iPhones und iPads angreifbar und setzt Apple schachmatt. Trotzdem ist man nicht schutzlos.
Es sei «die grösste Sicherheitslücke aller Zeiten fürs iPhone», schrieb der Hacker Pwn20wnd auf Twitter. Die Freude war nicht zu übersehen: Denn Pwn20wnd ist darauf spezialisiert, Apples Betriebssystem zu knacken.
Die Sicherheitslücke trägt den Namen Checkm8 (für Checkmate, deutsch schachmatt). Sie erlaubt es Angreifern, Schutzmechanismen zu umgehen und eigene Software auszuführen. Die Lücke ist bei allen Mobilgeräten der letzten Jahre zu finden: Betroffen sind Apples Telefone ab dem iPhone 4s, das iPad 2 und neuer, Apple TV ab der dritten Generation und iPod Touch ab der fünften Generation. Nur die ganz neuen iPhone-Modelle (11 und 11 Pro sowie XR und XS) sind geschützt vor Checkm8.
Die Sicherheitslücke ist derartig problematisch, weil sie sich nicht wie üblich durch ein Update schliessen lässt. Sie steckt nicht in der Software, sondern im Chipsatz: Das ist eine Hardwarekomponente, die den Prozessor steuert. Um den Fehler zu beheben, müsste Apple die betroffenen Geräte zurückrufen und die fehlerhafte Komponente austauschen. Ob es dazu kommen wird, ist im Moment völlig offen.
Das klingt in der Tat nach einem Super-GAU: Wer Wert auf die höchstmögliche Sicherheit legt, hat in der Tat keine andere Wahl, als auf ein neues, nicht verwundbares iPhone-Modell umzusteigen. Und es gibt auch Sicherheitsberater, die genau das empfehlen – zumindest Aktivisten, Politikern und Journalisten, die damit rechnen müssen, dass man ihnen bei einer Verhaftung ihr Telefon abnimmt.
Angriff nur per USB möglich
Für normale, weniger exponierten Nutzer ergibt sich keine unmittelbare Bedrohung. Denn erstens ist ein Zugriff per Internet nicht möglich, es braucht dafür den direkten Zugang zum Gerät per USB. Zweitens ist das Entsperren (der Jailbreak) nicht dauerhaft; bei einem Neustart geht die fremde Software verloren.
Und drittens werden die Daten auf dem Gerät durch Apples Sicherheitsmassnahmen geschützt. Mails, Nachrichten und Bilder sind verschlüsselt und können auch auf einem gehackten Gerät nicht ausgelesen werden. Für eine Entschlüsselung braucht es den Passcode, mit dem das Telefon oder iPad entsperrt wird. Ohne den erfolgt ein Datendiebstahl indirekt, zum Beispiel durch Belauschen des Netzwerkverkehrs.
Das sollten Sie tun
Aus diesem Grund kommt dem Gerätecode eine umso grössere Bedeutung zu. Falls Sie einen vierstelligen Zahlencode verwenden, wechseln Sie unbedingt zu einem sechsstelligen Code. Noch sicherer ist ein richtiges Passwort, das auch Buchstaben enthält. Tippen Sie in den Einstellungen von iPhone oder iPad auf «Face-ID & Code» respektive «Touch-ID & Code», dann auf «Code ändern». Bei der Eingabe des neuen Codes achten Sie auf die «Codeoptionen», über die Sie die Art des Codes auswählen.
Matthias Schüssler