Kürzlich wurde eine Zero-Click-Zero-Day-Schwachstelle für Apple-Geräte entdeckt, die zur Übertragung der berüchtigten Pegasus-Spyware auf iPhones führte. Der als BLASTPASS bekannte Exploit umgeht sogar die neueste Version von iOS (16.6), indem er PassKit-Anhänge mit bösartigen Bildern nutzt. Sobald diese Anhänge an das iMessage-Konto des Opfers gesendet werden, kann die Pegasus-Spyware der NSO Group ohne erforderliche Interaktion eingesetzt werden.

Das Forschungsteam von Citizen Lab benachrichtigte Apple umgehend, nachdem es ein infiziertes Gerät entdeckt hatte, das einer Person gehörte, die bei einer zivilgesellschaftlichen Organisation mit Sitz in Washington DC und internationaler Reichweite beschäftigt war. Als Reaktion darauf ordnete Apple der Exploit-Kette schnell zwei CVE-Kennungen (Common Vulnerabilities and Exposures) zu – CVE-2023-41064 und CVE-2023-41061 – und veröffentlichte Updates für iOS und iPadOS. Gefährdeten Benutzern wurde empfohlen, den Sperrmodus zu aktivieren, der den Angriff effektiv blockiert.

Während Citizen Lab noch keine weiteren Details zur Exploit-Kette bekannt gibt, werfen die Versionshinweise von Apple etwas Licht auf die Schwachstellen. CVE-2023-41064 wird auf ein Pufferüberlaufproblem in ImageIO zurückgeführt, bei dem die Verarbeitung eines in böser Absicht erstellten Bildes zur Ausführung willkürlichen Codes führen kann. Unterdessen war die Wallet-App von CVE-2023-41061 aufgrund eines in böser Absicht erstellten Anhangs betroffen, der von Apple durch eine verbesserte Logik zur Validierung behoben wurde.

Die von der israelischen NSO Group entwickelte Pegasus-Spyware ist ein höchst umstrittenes Tool, das angeblich ausschließlich an legitime Regierungsbehörden verkauft wird. Nach der Installation kann diese Spyware Anrufe und Nachrichten überwachen und die Kamera des Telefons nutzen. Trotz der Behauptung der NSO Group, die Spyware zur Bekämpfung von Kriminellen lizenziert zu haben, hat ihr Einsatz bei Gesetzgebern und Datenschutzaktivisten Bedenken hervorgerufen. Citizen Lab hat zuvor die Präsenz von Pegasus auf Geräten der britischen Regierung entdeckt.

Um sich vor diesen Exploits zu schützen, ist es wichtig, iOS- und iPadOS-Geräte sofort zu aktualisieren. Die schnelle Reaktion und der Patch-Zyklus von Apple sowie die Zusammenarbeit mit der betroffenen Organisation wurden von Citizen Lab für ihre Bemühungen zur Behebung dieser Schwachstelle gelobt.

Definitionen:

Zero-Day-Schwachstelle: Eine Software-Schwachstelle, die von Bedrohungsakteuren entdeckt wird, bevor sie den Softwareanbietern oder Entwicklern bekannt wird, und möglicherweise unbefugten Zugriff oder böswillige Aktivitäten ermöglicht.

Exploit: Eine Software, ein Code oder eine Technik, die eine Schwachstelle in einem System, einer Anwendung oder einer Software ausnutzt, um böswillige Aktionen auszuführen oder sich unbefugten Zugriff zu verschaffen.

Pegasus-Spyware: Ein leistungsstarkes Spyware-Tool, das von der NSO Group entwickelt wurde und verschiedene Aspekte eines Zielgeräts, einschließlich Anrufe, Nachrichten und Kameranutzung, heimlich infiltrieren und überwachen kann.

PassKit: Ein von Apple bereitgestellter Dienst, der die Verteilung von Pässen wie Tickets, Coupons und Mitgliedskarten über die Apple Wallet-Anwendung des Benutzers ermöglicht.

CVE (Common Vulnerabilities and Exposures): Eine standardisierte Kennung, die einer bestimmten Schwachstelle oder einem Sicherheitsproblem zum Zweck der Nachverfolgung und Referenz zugewiesen wird.

Quellen: Citizen Lab, Apple-Versionshinweise