Nachdem Googles Threat Intelligence Group (GTIG) und das Sicherheitsunternehmen iVerify ein hochkomplexes neues Exploitkit für iOS und iPadOS entdeckt haben, das sowohl von staatlichen Stellen als auch Kriminellen eingesetzt worden sein soll, hat Apple reagiert: Der iPhone-Hersteller hat iOS 15.8.7 und iPadOS 15.8.7 sowie iOS 16.7.15 und iPadOS 16.7.15 zum Download bereitgestellt.

Akute Gefahr für alte Geräte

Während die neue iOS- und iPadOS-15-Version insgesamt vier Lücken stopft – eine im Kernel und drei in der Browser-Engine WebKit –, wird in der neuen iOS- und iPadOS-Version 16 nur ein WebKit-Sicherheitsproblem behoben. Die Fehler reichen jedoch jeweils aus, um Geräte offenbar vollständig zu übernehmen. Sie sind Teil komplexer Exploit-Chains, die in der Malware namens Coruna stecken. Nutzer sollten ihre iPhones und iPads sofort aktualisieren, sollten sie diese alten Betriebssystemversionen noch nutzen.

Coruna ist auch deshalb so gefährlich, weil es an zahlreiche iOS- und iPadOS-Versionen angepasst ist: von iOS 13 bis zu iOS 17.2.1. Das Exploitkit zieht sich jeweils die passenden Angriffsvarianten und führt sie dann aus. Hinzu kommt, dass offenbar noch bis vor wenigen Tagen Websites online waren, über die man sich infizieren konnte. Coruna erlaubt sogenannte 1-Click-Exploits, das heißt, es reicht aus, einen Link im Safari-Browser auf dem iPhone oder iPad aufzurufen, um sich zu infizieren. Neuere iPhones und iPads mit iOS und iPadOS 26 sind laut aktuellem Kenntnisstand nicht betroffen.

Verbindungen nach Russland und China

Laut GTIG soll Coruna unter anderem von Personen mit russischem Spionagebezug eingesetzt worden sein, um Nutzer in der Ukraine anzugreifen. Später sei das Exploitkit aber auch von einem „finanziell motivierten Threat Actor, der aus China operiert“, verwendet worden. Dabei ging es offenbar um Krypto-Scams, jedenfalls verbreiteten sich die Links über derartige Seiten, darunter eine falsche Variante der Kryptobörse WEEX. Welche konkreten Schäden durch Coruna angerichtet wurden, ist noch unklar – ebenso, wer der Hersteller der Malware ist. Günstig dürfte sie angesichts der zahlreichen verwendeten Exploits kaum sein.

Der Vorfall zeigt, dass Nutzer mit älteren iPhones und iPads nach wie vor angegriffen werden. Apple aktualisiert diese nur sporadisch und auch nur dann, wenn derart prominente Fälle auftreten wie jetzt mit Coruna. Das heißt: Andere Lücken unter iOS 15 und 16 stehen weiterhin offen. Am besten abgesichert ist man stets, wenn man die jüngste Betriebssystemversion einspielt. Das kann für Nutzer unbequem sein, die etwa große Veränderungen wie Liquid Glass zunächst nicht mitmachen wollen. Apple lässt nämlich bereits bei der jeweiligen Vorversion einige Patches weg – mit welchen Auswahlkriterien, bleibt unklar.

(bsc)

Werden Messenger-Dienste wie WhatsApp, Signal oder Telegram von der Polizei überwacht, darf dies kein Freibrief für den Zugriff auf das gesamte digitale Vorleben eines Verdächtigen sein. In einem richtungsweisenden Beschluss vom 20. Januar hat der Bundesgerichtshof (BGH) die Befugnisse der Ermittler beim sogenannten Aufschalten auf Chat-Accounts deutlich eingeschränkt. Die Karlsruher Richter stellten klar, dass die gängige Praxis, bei einer laufenden Überwachung einfach auch die vorhandene Historie zu kopieren, gegen geltendes Recht verstößt.

Chat-Überwachung ist „Quellen-TKÜ“

Bisher wurde die Auswertung von Chatverläufen oft rechtlich wie eine einfache Telefonüberwachung behandelt. Doch der BGH bewertet die Methode, bei der sich die Polizei direkt Zugang zu einem Messenger-Konto verschafft, nun präzise als Quellen-Telekommunikationsüberwachung.

Diese „Quellen-TKÜ“ ist die Antwort des Staates auf Ende-zu-Ende-Verschlüsselung. Früher konnte die Polizei Nachrichten einfach beim Provider „auf der Leitung“ abgreifen. Heute ist das bei vielen Kommunikationsdiensten zwecklos, wenn die Daten dort durchgängig verschlüsselt übertragen werden.

Bei einer Quellen-TKÜ setzen die Ermittler technisch direkt auf dem Endgerät des Nutzers wie einem Smartphone oder Laptop an. Die Kommunikation wird entweder vor der Verschlüsselung beim Absender oder nach der Entschlüsselung beim Empfänger abgefangen. Technisch geschieht dies oft durch Spionagesoftware in Form von Staatstrojanern. Im aktuellen Fall entschieden sich die Ermittler indes für eine heimliche „Aufschaltung“, bei der sie sich als weiteres Endgerät in einen Account einschleichen. Technische Details dazu durften nicht einmal die Karlsruher Richter erfahren.

BGH: Schutz der Integrität ist entscheidend

Der Kern des BGH-Beschlusses liegt in der zeitlichen Trennung der Befugnisse. Der 3. Strafsenat argumentiert, dass die Quellen-TKÜ laut Strafprozessordnung (StPO) ein funktionales Äquivalent zur klassischen Telefonüberwachung sein soll (Az.: 3 StR 495/25). Das Gesetz erlaubt hier auf Basis von Paragraf 100a Absatz 1 Satz 2 StPO nur den Zugriff auf Daten, die „auch während des laufenden Übertragungsvorgangs“ hätten überwacht werden können.

Damit ist ein explizites Verbot der rückwirkenden Überwachung festgeschrieben. Der BGH betont, dass die Integrität eines IT-Systems ein hohes Gut ist. Wenn Ermittler sich Zugang verschafften, müssten sie technisch sicherstellen, dass sie wirklich nur die aktuelle Kommunikation erfassen. Ein automatisches Mitfiltern der Vergangenheit, nur weil die Technik es ermöglicht, ist mit der Rechtsnorm nicht vereinbar.

Will die Polizei dennoch auf alte Nachrichten zugreifen, reicht eine Anordnung zur Quellen-TKÜ nicht aus. Dafür ist laut BGH zwingend eine heimliche Online-Durchsuchung nach Paragraf 100b StPO nötig. Der rechtliche Unterschied ist groß: Während eine Quellen-TKÜ die laufende Kommunikation überwacht, besteht bei einer Online-Durchsuchung Zugriff auf den gesamten Speicher eines Zielgeräts.

Letztere unterliegt strengeren Anforderungen und ist nur bei einem Katalog von „besonders schweren Straftaten“ wie Terrorismus oder Mord zulässig. Im vorliegenden Fall ging es um den illegalen Handel mit Medikamenten und Dopingmitteln. Dies erfüllte nur die Hürden für eine normale Überwachung.

Folgen für die Justiz: Beweisverwertungsverbot

Die Entscheidung hat unmittelbare Folgen für die Verwertbarkeit von Beweisen. In dem Verfahren hatte das Landgericht Aurich einen Mann unter anderem aufgrund von Telegram-Nachrichten verurteilt, die teils fünf Monate vor der richterlichen Anordnung geschrieben worden waren. Der BGH erklärte diese Beweiserhebung für rechtswidrig und ordnete ein Verwertungsverbot an.

Die Richter begründeten dies damit, dass die Missachtung der technischen Sicherungspflichten nicht folgenlos bleiben dürfe. Würden solche Daten dennoch als Beweise zugelassen, gäbe das den Ermittlungsbehörden einen Anreiz, die gesetzlichen Grenzen der Online-Durchsuchung systematisch zu umgehen. Das Landgericht Aurich muss den Fall daher nun ohne die alten Chat-Logs neu aufrollen.

Gül Pinar, Strafverteidigerin und Vizevorsitzende im Strafrechtsausschuss des Deutschen Anwaltvereins (DAV), bezeichnete die Entscheidung gegenüber der ARD als „sehr wichtig und relevant“. Aus ihrer Sicht fehlte für das Auslesen alter Nachrichten bisher die Rechtsgrundlage. Mit seiner Ansage stärke der BGH das IT-Grundrecht, also den Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme. In letzter Zeit habe es tausende Fälle gegeben, „in denen die Polizei auch alte Nachrichten ausgewertet hat“.

(mki)

Der quelloffene Passwort-Manager KeePassXC ist in Version 2.7.12 erschienen. Das Release behebt mehrere Sicherheitsprobleme, allen voran einen Schutz gegen DLL-Injection-Angriffe unter Windows. Außerdem bringt es funktionale Erweiterungen, darunter TOTP-Unterstützung in Auto-Type und verschachtelte Ordner beim Bitwarden-Import.

Wie die Entwickler in ihrem Release-Blog mitteilen, enthält die neue Version Mitigationen gegen Exploits über manipulierte OpenSSL-Konfigurationsdateien auf Windows. Bei einer DLL-Injection schleusen Angreifer bösartige Dynamic Link Libraries in den Adressraum eines laufenden Prozesses ein, um beliebigen Code auszuführen oder Rechte zu erhöhen. KeePassXC 2.7.12 verhindert nun, dass OpenSSL-Konfigurationen als Angriffsvektor für solche Injektionen missbraucht werden.

Passkey-Flags ändern sich – Vorsicht beim Update

Eine potenziell aufwendige Änderung betrifft Passkeys: KeePassXC speichert jetzt die Flags Backup Eligibility (BE) und Backup State (BS) mit jedem Eintrag. Das BE-Flag zeigt an, ob ein Passkey als Multi-Device-Credential gesichert und synchronisiert werden kann, das BS-Flag markiert den aktuellen Sicherungsstatus. Bisher waren beide Werte fest auf false gesetzt, ab Version 2.7.12 stehen sie standardmäßig auf true. Die Entwickler warnen ausdrücklich: „Dies könnte bestehende Passkeys brechen, für die die Flags nicht gespeichert wurden, da die Werte als unveränderlich gelten.“

Wer nach dem Update Probleme mit bestehenden Passkeys feststellt, kann den vorherigen Zustand wiederherstellen, indem er unter „Advanced“ zwei String-Attribute manuell hinzufügt: KPEX_PASSKEY_FLAG_BE=0 und KPEX_PASSKEY_FLAG_BS=0. Zusätzlich wird nun der publicKey in die Register-Response für Passkeys aufgenommen.

TOTP-Platzhalter und verbesserter Browser-Dialog

KeePassXC 2.7.12 unterstützt jetzt {TIMEOTP} als Platzhalter in Auto-Type-Sequenzen und als Entry-Platzhalter. TOTP (Time-based One-Time Password) ist ein RFC 6238 spezifizierter Algorithmus, der aus einem gemeinsamen geheimen Schlüssel und der aktuellen Systemzeit zeitbasierte Einmalpasswörter generiert – typischerweise alle 30 Sekunden. Nutzer können damit automatisch den aktuellen TOTP-Code in Login-Formulare einfügen lassen, ohne ihn händisch aus einer Authenticator-App ablesen zu müssen.

Im Browser-Zugriffsdialog zeigt KeePassXC nun die abgeglichenen URLs in einem Tooltip an. So lässt sich leichter verifizieren, welche Websites tatsächlich Zugriff auf gespeicherte Zugangsdaten anfordern. Außerdem validiert die neue Version die Haupt-Entry-URL bei der Verwendung von Platzhaltern und speichert browserbezogene Werte korrekt in den customData-Feldern.

Bitwarden-Import mit verschachtelten Ordnern

Wer von Bitwarden zu KeePassXC migriert, kann mit der neuen Version auch verschachtelte Ordner übernehmen. Bitwarden nutzt einen Schrägstrich als Trennzeichen für hierarchische Ordnerstrukturen, etwa „Socials/Forums“. KeePassXC 2.7.12 bildet diese Hierarchie beim Import korrekt ab, sodass die Vault-Struktur erhalten bleibt.

Weitere Bugfixes

Unter Linux haben die Entwickler eine Änderung rückgängig gemacht, die eine Race-Condition in der Auto-Type-Funktion verursachte. Darüber hinaus behebt das Release diverse kleinere Probleme: Die Anzeige des Kontrollkästchen-Werts in den Browser-Integrations-Einstellungen stimmt jetzt, Font- und Theme-Darstellung wurden korrigiert, der „Entfernen“-Button in den Plugin-Daten funktioniert wieder ordnungsgemäß, und Dateinamen werden vor dem Speichern von Anhängen bereinigt.

KeePassXC 2.7.12 steht für Windows, Linux und macOS auf der Projektseite zum Download bereit.

Siehe auch:

• KeePassXC: Download schnell und sicher von heise.de

(fo)