WebKit-Lücke in iOS: Hacker konnten Zugangsdaten für populäre Webseiten abgreifen
Eine Hackergruppe, die Experten und Sicherheitsbehörden zufolge mit der russischen Regierung in Verbindung steht, ist offenbar Urheber einer groß angelegten Attacke auf iPhones und iPads. Zunutze machten sich die Angreifer dabei eine Zero-Day-Lücke, welche in Apples Browser-Engine WebKit und damit Safari schlummerte. Ziel der Aktion waren unter anderem Mitarbeiter von Regierungen etlicher westeuropäischer Länder.
Passwörter von Regierungsmitarbeitern anvisiertDurch das Ausnutzen der Schwachstelle mit der Bezeichnung
CVE-2021-1879 konnten die Angreifer an Zugangsdaten für populäre Webseiten gelangen. Zu den anvisierten Zielen gehörten unter anderem die Benutzernamen und Passwörter für Dienste von Google, Yahoo, Microsoft, LinkedIn und Facebook. Das berichtet Googles Threat Analysis Group (TAG) in einem kürzlich erschienenen
Blogbeitrag. Die Hacker sandten ihren potenziellen Opfern via LinkedIn-Nachricht einen Link zu, welcher auf ein bösartiges Skript verwies. Wurde die URL auf einem iPhone oder iPad geöffnet, schickte die Seite Schadcode auf das Gerät. Dieser deaktivierte zunächst die Same-Origin-Policy und las dann die Authentifizierungs-Cookies der gewünschten Webseiten aus. Zum Erfolg führte das immer dann, wenn die entsprechende Seite gleichzeitig in einem Safari-Tab geöffnet war.
Apple hat die Lücke bereits geschlossenDie Sicherheitslücke schlummerte nicht nur in iOS/iPadOS 14, sondern war auch in iOS/iPadOS 12 enthalten. Zudem wies watchOS 7 die Schwachstelle auf. Apple hat sie bereits mit iOS/iPadOS14.4.2, iOS 12.5.2 und watchOS 7.3.3 geschlossen. Den Google-Mitarbeitern Maddie Stone and Clement Lecigne zufolge handelt es sich bei den Angreifern, welche die WebKit-Lücke für ihre Zwecke ausnutzten, um eine von der russischen Regierung unterstützte Hackergruppe. Sie soll 2019 und 2020 die Attacke auf Netzwerkmanagement-Systeme des Herstellers SolarWinds durchgeführt haben. Dabei drang sie in die Netzwerke zahlreicher Unternehmen und Behörden in den USA und Europa ein, betroffen waren unter anderem VMWare, zahlreiche Microsoft-Kunden sowie das US-amerikanische Finanzministerium. Auch deutsche Firmen und Behörden gehörten zu den Opfern.