Die Hacker sollen die Sicherheitslücke mindestens seit 2017 ausgenutzt haben, heißt es in dem Bericht. Google hat den Fehler laut eigenen Angaben Anfang Februar entdeckt und an Apple gemeldet. Der iPhone-Konzern habe umgehend reagiert und wenige Tage später eine Sicherheitsaktualisierung bereitgestellt, die die Schwachstelle behoben habe. Google rät allen, die bislang versäumt haben, ihr Gerät auf den neusten Stand zu bringen, dies umgehend nachzuholen.

Betroffen waren dem Sicherheitsbericht zufolge Geräte mit den iOS-Versionen zehn bis zwölf. Mithilfe der Sicherheitslücke sei es den Angreifern nicht nur möglich gewesen, Dateien aus Anwendungen herauszulesen, sondern auch die Kontrolle über das gesamte Gerät zu erlangen. Anders als von ­Google berichtet, sollen aber nicht nur ­iPhones von dem Angriff betroffen gewesen sein. Die Hacker sollen es ebenso auf mobile Geräte mit dem ­Google-Betriebssystem Android und auf Microsoft-Windows-Rechner abgesehen haben, berichtet das US-Wirtschaftsmagazin Forbes.

Überraschend an dem Angriff sei nicht nur die umfassende Zahl der befallenen Geräte, sondern auch das Ausmaß der Informationen, an die die Kriminellen gelangen konnten, schreiben die Google-­Analysten. Mit der Schadsoftware konnten die Hacker in Echtzeit den Standort des Gerätes überwachen, Fotos, Kontakte sowie Passwörter einsehen und andere persönliche Dateien auslesen. Überdies konnten die Hacker mithilfe der Schadsoftware Nachrichten, die über Kurznachrichtendienste wie WhatsApp oder Telegram verschickt wurden, mitlesen, auch hatten sie Einblick in E-Mail-Postfächer und Konten bei sozialen Netzwerken. Ein befallenes Gerät habe aber keinerlei Anzeichen auf einen Befall mit der schädlichen Programmcode gegeben, sagen die Google-Experten.

Auf ihrer Internetseite haben die Analysten von Project Zero, wie das Sicherheitsteam des US-Konzerns heißt, umfassende Informationen darüber zusammengetragen, wie das Schadprogramm agiert. Laut den Sicherheitsexperten überträgt die Software den Teil der Datenbanken, der wortwörtlich und entschlüsselt den Inhalt der Nachrichten enthält, an eine externe Plattform, um sie dort zu speichern. Auch Fotos versende das Programm unverschlüsselt und in ­Originalgröße sowie die auf dem Gerät gespeicherten Kontaktdaten Dritter.

Das US-amerikanische Technikportal Tech Crunch mutmaßt, dass die chinesische Regierung hinter den Angriffen steckt. Das Ziel sei gewesen, die ­Uiguren, eine muslimische Minderheit in der Region Xinjiang im Nordwesten Chinas, zu überwachen. Nach Angaben von Tech Crunch versucht die chinesische Regierung schon länger, gegen diese Bevölkerungsgruppe vorzugehen. Im vergangenen Jahr wurden laut einem Menschenrechtskomitee der UN zufolge in Peking über eine Million ­Uiguren in Lagern festgehalten.

Diese Erkenntnisse machen Cybersicherheitsexperten Sorgen, schreibt das US-Technikmagazin Wired. Bislang galten iPhones, vor allem im Vergleich zu den Smartphones anderer Hersteller, als sehr sicher. Das habe dazu geführt, dass die Kosten für die Überwachung eines einzelnen iPhones auf mindestens eine Million US-Dollar geschätzt wurden. Diese Investition habe sich nur gelohnt, wenn es darum ging, wichtige Regierungspersonen auszuspionieren, und auch dann haben es sich nur staatliche Hackergruppen leisten können, so Wired. Dies scheine sich nun als Irrtum herausgestellt zu haben, da diese Angriffe auf ganze Bevölkerungsgruppen abgezielt haben. Ein iPhone zu knacken, schreibt das Magazin weiter, sei offenbar nicht so teuer, wie bislang angenommen.