Notfall-Update veröffentlicht : Apple stopft aktiv ausgenutzte Sicherheitslücke
Apple hat ein dringendes Sicherheitsupdate für iOS und iPadOS veröffentlicht, um eine bereits aktiv ausgenutzte Zero-Day-Schwachstelle zu schließen. Die Lücke könnte Angreifern ermöglichen, Sicherheitsmechanismen auf gesperrten Geräten zu umgehen – ein erhebliches Risiko für Nutzer.
Die unter der Kennung CVE-2025-24200 geführte Schwachstelle wird als Autorisierungsproblem beschrieben, das es einem Angreifer ermöglichen könnte, den USB-Einschränkungsmodus auf einem gesperrten Apple-Gerät im Rahmen eines cyber-physischen Angriffs zu deaktivieren.
Der USB-Einschränkungsmodus, eingeführt mit iOS 11.4.1, sorgt normalerweise dafür, dass ein iPhone oder iPad nur dann mit angeschlossenem Zubehör kommunizieren kann, wenn es in den letzten 60 Minuten entsperrt und mit einem Zubehör verbunden war. Andernfalls wird die Verbindung blockiert, um unbefugten Zugriff zu verhindern. Die Funktion wurde entwickelt um zu verhindern, dass digitale Forensik-Tools wie Cellebrite oder GrayKey – die hauptsächlich von Strafverfolgungsbehörden genutzt werden – unbefugten Zugriff auf beschlagnahmte Geräte erhalten und sensible Daten auslesen.
„Cyber-physisch“ deutet darauf hin, dass physischer Zugriff auf das Gerät erforderlich ist, um die Schwachstelle auszunutzen – das iPhone oder iPad müsste dafür also zumindest für einen kurzen Moment in die Hände eines Angreifers gelangen. Wie bei Sicherheitshinweisen dieser Art üblich, sind derzeit keine weiteren Details zur Sicherheitslücke verfügbar.
Wie hat Apple reagiert?
Apple hat die Sicherheitslücke jetzt mit einem Update behoben und erklärt, dass die Schwachstelle durch eine verbesserte Verwaltung des Systemzustands unschädlich gemacht wurde. Allerdings gibt das Unternehmen zu, dass es Hinweise auf äußerst raffinierte Angriffe gibt, bei denen die Schwachstelle gezielt gegen einzelne Personen ausgenutzt wurde.
Entdeckt und an Apple gemeldet wurde die Sicherheitslücke wurde von Bill Marczak, einem Sicherheitsspezialisten am Citizen Lab der Universität Toronto.
Das Uppate ist für die folgenden Geräte und Betriebssysteme verfügbar:
- iOS 18.3.1 und iPadOS 18.3.1
- iPhone XS und neuer
- iPad Pro 13 Zoll
- iPad Pro 12,9 Zoll (3. Generation und neuer)
- iPad Pro 11 Zoll (1. Generation und neuer)
- iPad Air (3. Generation und neuer)
- iPad (7. Generation und neuer)
- iPad mini (5. Generation und neuer)
- iPadOS 17.7.5
- iPad Pro 12,9 Zoll (2. Generation)
- iPad Pro 10,5 Zoll
- iPad (6. Generation)
Nur wenige Wochen nach der Behebung einer schweren Sicherheitslücke steht Apple damit erneut vor einem Zero-Day-Problem. Zuvor hatte das Unternehmen eine Use-After-Free-Schwachstelle in der Core Media-Komponente (CVE-2025-24085) geschlossen. Diese Lücke wurde aktiv ausgenutzt, insbesondere gegen ältere iOS-Versionen vor iOS 17.2.
Zero-Day-Schwachstellen als Ziel für Spionagesoftware
Sicherheitslücken in Apple-Software werden oft von kommerziellen Überwachungsfirmen genutzt, um Spionagesoftware auf Geräten zu installieren. Diese Programme ermöglichen es, Daten unbemerkt auszulesen – ein Werkzeug, das von Geheimdiensten und Strafverfolgungsbehörden weltweit genutzt wird, aber auch zunehmend für fragwürdige Zwecke missbraucht wurde.
Ein bekanntes Beispiel ist das Pegasus-Überwachungsprogramm der NSO Group. Offiziell wird es als „lebensrettende Technologie“ vermarktet, die hilft, schwere Kriminalität zu bekämpfen. Es soll Ermittlern ermöglichen, trotz verschlüsselter Kommunikation (das sogenannte „Going Dark“-Problem“) Verdächtige zu überwachen.
Allerdings gab es immer wieder Berichte, dass Pegasus zur Ausspähung von Journalisten, Aktivisten und politischen Gegnern eingesetzt wurde.
NSO Group: Pegasus nur für „legitime Behörden“
Die NSO Group weist die Kritik zurück und betont, dass Pegasus kein Massenüberwachungswerkzeug sei. Nach eigenen Angaben wird die Software ausschließlich an „geprüfte und legitime Geheimdienste und Strafverfolgungsbehörden“ verkauft.
Im Transparenzbericht 2024 gibt das israelische Unternehmen an, 54 Kunden in 31 Ländern zu haben, darunter 23 Geheimdienste und 23 Strafverfolgungsbehörden. Trotz dieser Angaben bleibt Pegasus umstritten – denn der Missbrauch solcher Spionagetools ist längst Realität.