Wer mit dem Smartphone oder dem Laptop im Internet unterwegs ist, muss stets damit rechnen, dass Hacker Zugriff auf das Gerät erlangen können. Die Vorstellung, dass Kriminelle Kamera und Mikrofon ansteuern könnten, ist gruselig, aber seit Jahren durchaus real.
Für einen solchen Zugriff nutzen Cyberkriminelle in der Regel unentdeckte Sicherheitslücken in den jeweiligen Betriebssystemen. Unternehmen sind auf gutherzige Hacker:innen angewiesen, die Lücken entdecken und offiziell melden.
Mac-User:innen sollten sich jetzt in Acht nehmen, denn Sicherheitsforscher:innen haben mehrere Bugs entdeckt, durch die schlimmstenfalls Kamera und Mikrofon des Computers angegriffen werden können.
Konkret geht es um mehrere Sicherheitslücken bei den macOS-Versionen von sechs Microsoft Office-Programmen, wie aus einem Bericht der Sicherheitsexpert:innen von Cisco Talos hervorgeht. Cisco Talos ist eine Division des amerikanischen Telekommunikationsunternehmens Cisco Systems und ist spezialisiert auf digitale Sicherheit.
Betroffen sind demnach die Office-Applikationen Word, Outlook, PowerPoint, OneNote, Excel sowie das Videochatprogramm Teams. Die insgesamt acht Sicherheitslücken waren den IT-Forscher:innen bei einer Analyse des Sicherheitssystems von Apple aufgefallen, das auf dem Prinzip "Transparency, Consent and Control" (TCC) beruht.
Durch TCC soll sichergestellt werden, dass User:innen der Nutzung von sensiblen Daten durch Programme explizit zustimmen müssen. Das ist bei macOS beispielsweise bei der Verwendung von Kamera, Mikrofon, Standort oder Dateien der Fall.
Laut den IT-Expert:innen setzen die entdeckten digitalen Einfallstore bei eben diesen App-Berechtigungen an. Hacker:innen könnten demnach das Sicherheitssystem TCC umgehen und Berechtigungen nutzen, die ein:e Nutzer:in für das jeweilige Microsoft Programm erteilt hat. Das Betriebssystem fordere in diesem Fall nicht zu einer erneuten Freigabe auf.
"So könnte der Angreifer beispielsweise unbemerkt E-Mails über das Benutzerkonto versenden, Audioclips aufzeichnen, Fotos machen oder Videos aufnehmen", warnen die Sicherheitsforscher:innen.
Laut Cisco Talos sieht Microsoft die Sicherheitslücken nur als "geringes Risiko" an. Das Techunternehmen habe es abgelehnt, die Lücke zu schließen. Dennoch seien Teams und OneNote mittlerweile mit Updates versorgt worden, die einen Angriff über die aufgedeckte Methode verhindern.
Die Office-Programme Excel, Outlook, PowerPoint und Word blieben dagegen weiter verwundbar.