Auf Coruna folgt DarkSword: Sicherheitsforscher-Teams haben ein weiteres ausgeklügeltes Exploit-Kit analysiert, das verschiedene Angreifergruppen offenbar breitflächig eingesetzt haben, um Daten von iPhones zu stehlen. Allein durch den Aufruf manipulierter Webseiten seien die Apple-Geräte durch die Kombination mehrerer Zero-Day-Lücken komplett kompromittiert worden, betont die Google Threat Intelligence Group.

Derart aufwendige und teure Malware werde gewöhnlich nur von staatlichen Stellen gezielt gegen einzelne Personen eingesetzt. DarkSword und Coruna belegen allerdings, dass es „einen Second-Hand-Markt für solche Exploits gibt“ und diese dadurch in Hände von Gruppen mit geringeren Ressourcen und finanziellen Motiven gelangen können, erklärt die Sicherheitsfirma Lookout.

Exploit-Kette knackt iOS 18

DarkSword ist demnach in der Lage, innerhalb von Sekunden oder wenigen Minuten eine Vielzahl an Daten von dem kompromittierten iPhone an eigene Server zu übertragen. Dazu zählen den Angaben zufolge iMessage-, SMS, WhatsApp und Telegram-Chats ebenso wie E-Mails, Health-Daten, Dokumente, Passwörter, WLAN-Daten, Browser-Historie plus Kalender, Adress- und Kontaktdatenbanken. Die Malware hat es der Analyse zufolge außerdem auf gängige Krypto-Wallets abgesehen und versucht im Anschluss, ihre Spuren zu verwischen. Hier sei also nicht die gezielte, längerfristige Überwachung eines kompromittierten iPhones das Ziel, sondern ein auch finanziell motivierter, breit gestreuter „Hit and run“, so die Sicherheitsfirma.

Laut den Google-Sicherheitsforschern haben verschiedene Angreifer – darunter die russische Gruppe UNC6353 – das Exploit-Kit bis mindestens Ende 2025 eingesetzt. Die Malware soll sich unter anderem gegen Nutzer in der Ukraine, Türkei, Saudi-Arabien und Malaysia gerichtet haben. DarkSword sei auf die iOS-Version 18.4 bis 18.7 ausgelegt, die möglicherweise noch auf „Hunderten Millionen Geräten“ laufen, merken die Sicherheitsforscher an. Alle ausgenutzten Schwachstellen habe Apple gerade erst mit iOS 26.3 gepatcht.

Diese iOS-Versionen sind gepatcht

Apple-Nutzer sollten ihre Geräte dringend auf die neueste Betriebssystemversion bringen, das ist aktuell iOS, iPadOS und macOS 26.3.1. In der Nacht auf Mittwoch hat Apple außerdem einen weiteren, davon möglicherweise unabhängigen, Sicherheitspatch nachgeliefert – 26.3.1 (a) ist die allerneuste Version. Auch in iOS 18.7.3 sind die Schwachstellen angeblich beseitigt.

Auf Geräten, die nicht mehr aktualisiert werden können, raten die Sicherheitsforscher zur Aktivierung des Blockierungsmodus. Dieser schränkt mehrere Funktionen ein und findet sich in „Einstellungen > Datenschutz & Sicherheit“ ganz unten. Ob Apple erneut Patches für ältere iOS-Versionen nachliefert, bleibt vorerst offen.

(lbe)

Eine Schwachstelle in den Standard-Installationen von Ubuntu Desktop ermöglicht Angreifern, auf verwundbaren Systemen root-Rechte zu erlangen. Damit können bösartige Akteure anfällige Systeme vollständig kompromittieren. Aktualisierte Pakete stehen bereit.

Die IT-Forscher von Qualys haben die Schwachstelle entdeckt. In einem Blog-Beitrag erklären sie das Problem, das auf nicht beabsichtigten Wechselwirkungen von zwei Werkzeugen mit erhöhten Rechten basiert. „snap-confine“ soll Snap-Apps in einer Art Sandbox isolieren und die Sicherheit etwa durch das Einrichten von privaten Namespaces gewährleisten, mit set-user-ID-root (SUID). Der Dienst „systemd-tmpfiles“ entrümpelt temporäre Dateien und Verzeichnisse, die älter als ein definierter Zeitraum sind.

Ein Angriff ist durch den langen Zeitraum, den Angreifer bis zum potenziellen Erfolg warten müssen, als komplex eingestuft. In Ubuntu 24.04 dauert es bis zu 30 Tage, in jüngeren Versionen 10 Tage, bis der systemd die kritischen „/tmp/.snap“-Verzeichnisse löscht. Sofern das Verzeichnis gelöscht wurde, können bösartige Akteure es mit niedrigen Rechten im System neu erstellen und bösartigen Code dort ablegen. Bei der nächsten Initialisierung der snapd-Sandbox durch „snap-confine“ bindet das Tool diese Dateien als root ein, wodurch beliebiger Code im root-Kontext ausgeführt werden kann (CVE-2026-3888, CVSS 7.8, Risiko „hoch“).

Updates stopfen das Sicherheitsleck

Ubuntu stellt aktualisierte snapd-Pakete bereit, die die Schwachstelle ausbessern. Für Ubuntu 24.04 LTS löst snapd 2.73+ubuntu24.04.1 das Problem, in 25.10 snapd 2.73+ubuntu25.10.1, in der derzeit in Entwicklung befindlichen 26.04 LTS (Dev) hingegen snapd 2.74.1+ubuntu26.04.1; im Upstream von snapd sind Versionen ab 2.75 fehlerbereinigt. Auch, wenn ältere Ubuntu-Versionen von 16.04 bis 22.04 LTS in der Standardeinstellung nicht verwundbar sind, empfiehlt Qualys die Installation der aktualisierten snapd-Pakete.

Für die alten Ubuntu-Versionen können Admins im Rahmen einer Ubuntu-Pro-Lizenz noch Software-Updates bekommen. Im November 2025 gab Canonical bekannt, dass ab Ubuntu 14.04 bis zu 15 Jahre Sicherheitsupdates im Rahmen dieses Programms erhältlich sind. Damit lässt sich das alte Ubuntu bis ins Jahr 2029 sicher betreiben.

(dmk)

Mehr als 1.300 Demonstrierende kesselte die Polizei im Juni 2023 ein. Bis zu elf Stunden lang mussten die Menschen im Leipziger Kessel verharren, darunter auch unbeteiligte Anwohner:innen, Jugendliche und Kinder. Die Polizei nahm Personalien auf, teilte Anzeigen aus und leitete die Daten an den Verfassungsschutz weiter.

Bald drei Jahre später ist die Sache noch lange nicht ausgestanden. Der harte Einsatz der Polizei, die später Fehler einräumen musste, geriet in die Kritik. Zwar gab es im Umfeld der Demonstration gewalttätige Auseinandersetzungen. Im Dezember wurde indes bekannt, dass 85 Prozent der Ermittlungsverfahren wegen des Vorwurfs des schweren Landfriedensbruchs eingestellt werden mussten.

Nun klagt die Aktivistin Jona, gemeinsam mit der Gesellschaft für Freiheitsrechte (GFF), gegen den bayerischen Verfassungsschutz vor dem Verwaltungsgericht München. Ihre Daten musste sie beim Verlassen des Kessels dem Sächsischen Landeskriminalamt übergeben, der leitete sie an das Sächsische Landesamt für Verfassungsschutz weiter. Von dort flossen sie nach Bayern, wo die Aktivistin ihren Wohnsitz hat.

Stigmatisiert ohne Fehlverhalten

Obwohl Jona kein konkretes Fehlverhalten vorgeworfen wird – ein gegen sie eingeleitetes Strafverfahren wegen Landfriedensbruch wurde eingestellt –, sind ihre Daten weiterhin beim bayerischen Verfassungsschutz gespeichert. Laut der Klageschrift geht es neben ihrer Teilnahme an der Demonstration am sogenannten „Tag X“ in Leipzig auch um eine Anzeige im März 2024.

Zum einen will Jona mit der Klage erreichen, dass ihre Daten beim Verfassungsschutz gelöscht werden. Bislang weigert sich die Behörde mit der Begründung, Jona habe mit ihrer Teilnahme an der Versammlung die linksextreme Szene unterstützt. Zum anderen will die GFF grundsätzlich gerichtlich klarstellen lassen, dass die Teilnahme an einer Demonstration nicht Anlass für das Speichern von Daten beim Verfassungsschutz werden darf.

„Demokratie lebt von Protest“, sagt Luise Bublitz, Juristin und Verfahrenskoordinatorin bei der GFF. „Wenn Menschen befürchten müssen, dass ihre Daten wegen der bloßen Teilnahme an einer Demonstration beim Verfassungsschutz landen, entsteht ein Gefühl staatlicher Beobachtung.“ Politische Teilhabe dürfe nicht zum Risiko werden, so Bublitz.

Schwammige Gefahr

Dabei lässt sich das Risiko schwer einschätzen. So sei nicht klar definiert, was genau als „linksextreme Szene“ gilt, die Jona angeblich unterstützen würde, führt die GFF aus. Zwar dürfe der Verfassungsschutz Daten von Menschen speichern, aber nur dann, wenn es tatsächliche Anhaltspunkte dafür gibt, dass Personen Bestrebungen gegen die freiheitliche demokratische Grundordnung unterstützen. An einer legalen Versammlung teilzunehmen, sollte dafür nicht ausreichen, so die Grundrechteorganisation.

Was mit solchen Daten geschieht, bleibt oft unklar. So hatte etwa kürzlich der konservative Kulturstaatsminister Wolfram Weimer drei Buchhandlungen vom Deutschen Buchhandlungspreis ausgeschlossen. Im Rahmen des sogenannten Haber-Verfahrens hatte ihm der Verfassungsschutz zurückgemeldet, dass gegen die Buchhandlungen geheimdienstliche Erkenntnisse vorliegen würden.

Einträge mit Konsequenzen

Welche das genau sind, ist öffentlich nicht bekannt. Der Süddeutschen Zeitung zufolge soll einer der Buchläden einst eine Rolle im „Kommunikationsnetzwerk der RAF“ gespielt haben, ein anderer auf seiner Fassade „Deutschland verrecke“ stehen gehabt haben. Offenbar Grund genug, um die Buchhandlungen außerhalb des Verfassungsbogens zu stellen: Das Haber-Verfahren kann immer dann zum Zug kommen, wenn es um staatliche Förderung von Projekten geht, etwa von Nichtregierungsorganisationen.

Der „chilling effect“, vor dem die GFF nun warnt, der Menschen davon abschrecken könnte, ihre Grundrechte öffentlich auszuüben, könnte sich also nicht nur auf die Teilnahme an Demonstrationen beschränken. Zudem betreffe der Fall nicht nur eine einzelne Aktivistin, betont die GFF. Es gehe um die grundsätzliche Frage, wie weit Verfassungsschutzbehörden beim Erfassen und Speichern personenbezogener Daten nach Versammlungen gehen dürfen: „Die aktuelle Speicherpraxis ist eine Gefahr für die engagierte Zivilgesellschaft und die freie demokratische Meinungs- und Willensbildung“, so die GFF.