Wurde mein iPhone gehackt? So prüfen Sie es auf Malware oder Spyware

Das iPhone ist weit sicherer als ein Android-Smartphone oder ein Desktop-Rechner. Das bedeutet leider nicht, dass iOS völlig sicher vor Hackern ist, wie Spyware wie Pegasus oder Triangulation zeigen. Nicht ohne Grund bietet ja Apple mittlerweile einen speziellen Blockierungsmodus, der einige Funktionen deaktiviert und sogar vor staatlichen Angriffen schützen soll – für die iOS eben doch nicht unangreifbar ist.

Manchmal wünscht man sich da auch als Privatanwender, sein iPhone auf Spyware oder andere Malware zu untersuchen. Aktuell bietet Apple allerdings keine Möglichkeit dazu. Antivirenscanner für iOS sind im App Store sogar ausdrücklich verboten, weshalb man sich anders behelfen muss.

Grundsätzlich hat Apple nicht ganz unrecht. Geraten Sie an Hacker, haben diese es in der Praxis meist auf Ihre Online-Konten abgesehen, weniger auf Ihr iPhone.

Das sind die Anzeichen, dass nicht Ihr iPhone, sondern ein Account gehackt wurde

Der Autor hat es erst vor einigen Wochen wieder erlebt: Sie erhalten eine E-Mail-Nachricht, dass Sie angeblich ihr Facebook-Passwort zurücksetzen wollen oder ihr Anmeldeversuch bei Kleinanzeigen.de oder GMX.de schlägt plötzlich fehl. Ursache ist ein Angriff: Ein Hacker hat Ihre Anmeldedaten gestohlen und versucht damit auf Ihre Konten zuzugreifen.

In diesem Fall müssen Sie sofort reagieren, Ihren Account überprüfen und besser neue Passwörter vergeben. Ist der Account bereits gesperrt, müssen Sie vermutlich über den Support des jeweiligen Dienstes ihr Konto wiederherstellen, etwa über den Scan eines Personalausweises. Von dem betroffenen Dienst wird Ihnen dann empfohlen, ihren Rechner oder Smartphone mit einer Antivirensoftware zu prüfen: Ihr Gerät könnte gehackt worden sein.

Das richtet sich allerdings auch an Windows- und Android-Anwender, bei denen dies gut möglich wäre. Der Grund ist aber meist keine Spyware auf Ihrem iPhone oder Mac: Immer wieder werden Anmeldedaten von Diensten wie Adobe.com oder Dropbox gestohlen und kursieren als Datenbank unter Hackern. Diese Daten bilden dann oft die Grundlage, um Ihre Konten zu übernehmen.

Sie sollten über eine spezielle Webseite überprüfen, ob eine Ihrer E-Mail-Adressen ein Teil dieser sogenannten „breaches“ war. Nutzen Sie Apples Passwortverwaltung, werden Sie außerdem automatisch informiert, wenn Ihre Anmeldedaten im Darknet kursieren. Diese Passwörter sollten Sie möglichst bald ändern.

Betrug mit Apps

Es gibt zwar so gut wie keine Malware unter iOS, anders sieht es aber mit betrügerischen Apps aus. Immer wieder gelingt es Entwicklern, eine App im App-Store zu platzieren, die Nutzerdaten stiehlt oder betrügerische Abos anbietet, sogenannte Fleeceware. Beliebt ist auch die Kombination aus Social Engineering und Finanz-Apps. Hier kann man nur vor vorschnellen Installationen warnen und hoffen, dass Apple diese Apps schnell sperrt. Leider kann man sich bei diesen Apps nicht immer auf Nutzerbewertungen verlassen, da diese oft gefälscht sind.

Anzeige “Ihr Gerät wurde gehackt”

Zu diesen Betrugsversuchen gehört natürlich auch die Anzeige “Ihr Gerät wurde gehackt”, die plötzlich in Safari zu sehen ist. Hier wurde niemand gehackt, es handelt sich einfach um eine Spam-Anzeige – eine simple Webseite. Wenn Sie auf einen dort aufgelisteten Link klicken, werden Sie meist zur Installation von Malware oder auch zur Überweisung von Geld aufgefordert.

Dies sollen Sie natürlich keinesfalls tun. Diese Anzeigen lassen sich leider manchmal nur schwer wegklicken, manchmal müssen Sie Safari gewaltsam beenden oder Sie drücken lange auf das Tab-Symbol unten rechts. Sie können dann alle Seiten beenden. Eine interessante Variante: Unter Umständen erhalten Sie auch eine E-Mail, in der jemand behauptet, er hätte Ihren Rechner gehackt – und verlangt Geld von Ihnen. Ein Virenscan ist selbstverständlich nicht nötig.

Klassenunterschiede: Angriffe auf Privatanwender und Dissidenten

Ein Angriff auf eine Privatperson geht meist von kriminellen Hackern aus, die mit dem Zugriff auf Online-Konten wie Facebook, DHL-Konto, Bitcoin-Konten oder Ebay-Accounts Geld erbeuten wollen. Hackergruppen aus Ländern wie Nordkorea versuchen angeblich wie am Fließband fremde Konten zu übernehmen – für betrügerische Bestellungen, Phishing oder Bitcoin-Spam.

Das gelingt auch ohne den mühsamen Zugriff auf Ihr iPhone, dazu genügen geleakte Passwortdaten und Phishing. Sie versuchen beispielsweise Ihr Kleinanzeigen-Konto zu kapern oder Anmeldedaten Ihres Online-Kontos herauszufinden.

Anders sieht es bei Angriffen auf Unternehmen oder wichtige Personen aus, die möglichst unsichtbar bleiben sollen. Für Geheimdienste und staatsnahe Akteure gibt es nämlich sehr wohl Spyware, mit der man iPhones und iPads komplett überwachen kann – was auch schon Jeff Bezos passierte.

Das ist möglich, da noch unbekannte Sicherheitslücken von iOS für die Installation von Spyware verwendet werden.  Ein Programmierfehler bei iMessage oder Whatsapp genügt dann, eine Spyware per Nachricht einzuschmuggeln. Besonders bekannt ist etwa Pegasus der israelischen Firma NSO, mittlerweile sind aber noch weitere Tools diverser Hersteller bekannt geworden.

Amnesty International hat nicht nur auf Überwachungen von Politikern, Journalisten und Unternehmern aufmerksam gemacht, sondern auch einige Tools für das Aufspüren solcher Spionagesoftware bereitgestellt, die wir noch vorstellen werden.

Darum gibt es keine Antivirenscanner für iOS

Apple hat Antivirenscanner für iOS schon seit Jahren aus dem App Store verbannt und hält sie für überflüssig. Grund ist nicht nur die Sicherheit von iOS: Es gehört gerade zum Sicherheitskonzept, Drittherstellen keinen Zugriff auf Systemdaten zu gewähren – das gilt dann aber auch für einen Virenscanner, der diesen Zugriff für die Suche nach Malware benötigte.

So kann etwa die Antivirensoftware Virus Barrier zwar iPhones scannen, allerdings nur freigegebene Ordner. Unschön ist, dass dadurch vielleicht viele Angriffe unbemerkt bleiben. Es ist schließlich völlig ungeklärt, wie viele unerkannte Spyware-Attacken es auf das iOS wirklich gab, was Sicherheitsprofis wie Stefan Esser immer wieder anmerken. Auch eine Firma wie Kaspersky wurde schließlich mit einer iPhone-Spyware namens Triangulation ausgespäht und bemerkte es erst sehr viel später.

Unseren aktuellen Vergleichstest Antivirensoftware finden Sie hier

Pegasus und Co

Auch wenn die Abhöraktionen mit Pegasus und Co weit umfangreicher waren, als anfangs vermutet, Privatleute waren wohl selten betroffen. Jede dieser Überwachungsaktionen kostet hohe Gebühren (bei Pegasus angeblich knapp 25 000 Dollar pro Person), was sie nur für hochrangige Ziele sinnvoll macht.

Sie können ihr iPhone allerdings auf eine frühere Abhöraktion überprüfen. Der Trick dabei: Sie müssen ein Backup ihres iPhones erstellen, dieses können Sie dann auf einem Desktop-Rechner auf Spuren von Malware überprüfen – etwa bestimmte Einträge in den Protokolldateien. Die Organisation Amnesty Tech hat dazu eine Software namens Mobile Verification Toolkit bereitgestellt, die bereit mehrmals aktualisiert wurde.

Das Tool ist aber kompliziert zu bedienen, weshalb wir lieber iMazing empfehlen. Die für die Verwaltung von iPhones und iPads gedachte Software kann mittlerweile vier verschiedene Spyware-Versionen aufspüren: Pegasus von NSO, Predator von Cytrox (nicht mehr aktiv), KingsPawn von QuaDreams und die noch wenig bekannte Spyware Triangulation. Regulär kostet die Software aus Genf 60 Euro, die Spyware-Analyse funktioniert aber auch mit der Demo-Version.

Wie aber auch der Hersteller ausdrücklich erklärt, ist die Software für „gewöhnliche“ Anwender kaum sinnvoll.

Lesetipp: So schützen Sie sich gegen Pegasus

Was man nämlich nicht vergessen darf: Diese Tools können nur nach Spuren bekannter Angriffe suchen. Aktuelle Akteure versuchen laut Berichten, ihre Spuren sorgfältiger zu verwischen, weshalb diese Prüfungen gefährdete Personen sogar in falscher Sicherheit wiegen. Befürchten Sie einen Angriff von staatlicher Seite, würden wir deshalb eher zur Nutzung des Blockierungsmodus raten und zu sicheren Kommunikationsapps wie Signal zu greifen.

Ist iVerify eine sinnvolle App?

Sucht man nach einem vom PC gewohnten Virenscanner oder einer Firewall für sein iPhone, wird man im App Store nicht fündig. Es gibt zahllose Apps von Antivirenherstellern, dabei handelt es sich aber zumeist um VPN-Apps, die nur ihre Internetaktivitäten verschlüsseln (mehr dazu hier).

Die englischsprachige App iVerify von Trail of Bits geht aber einen anderen Weg. Die 3 US-Dollar teure App überprüft Ihre Sicherheitseinstellungen, weist etwa auf ein überfälliges Systemupdate hin und prüft das Vorhandensein von Bildschirmsperre und Face ID. Interessant ist aber vor allem der sogenannte „Device Scan“ und das eigentliche Alleinstellungsmerkmal der App: Die App prüft nämlich das iPhone auf Hinweise auf einen Jailbreak.

Ein solcher Jailbreak wird nämlich oft von Spyware als erster Schritt durchgeführt, damit die Malware Zugriff auf sensible Daten hat. Wie zuverlässig diese Funktion einen Einbruch in das System erkennen kann, lässt sich allerdings schwer einschätzen. Vor allem für Firmen, die sich Sorgen um die Sicherheit ihrer Mobilgeräte machen, ist das Konzept von iVerify aber interessant. Mehr Informationen gibt es in einem Vortrag.

Fazit:

Malware ist auf dem iPhone eine Seltenheit, Angriffe auf Online-Konten dagegen eine echte Plage. Ein weiteres Problem: Ein Angriff von staatlichen Akteuren ist zwar selten, dann aber auch nur sehr schwer nachweisbar.

Apple ist daran nicht unschuldig, erschwert die Abschottung von iOS doch auch das Erkennen von Malware. Weit wichtiger als eine Sicherheitsapp ist, für den iPhone-Nutzer aber auf sichere Passwörter zu setzen und – soweit möglich – sichere Anmeldeverfahren wie 2FA (Zwei-Faktor-Anmeldung) und Passkey zu verwenden.