Spyware kann Kamera- und Mikrofonanzeige beim iPhone abdrehen
Eigentlich sollte man bei jeder iOS-App sehen können, dass Kamera- oder Mikrofonaufzeichnung laufen. Predator, ein Spionageprogramm, hackt diese aber.
Indikator für Kamera (grün) und Mikrofon (orange) auf dem iPhone: Per Hack abdrehbar.
(Bild: Apple)
Die scheinbar „fest verdrahtete“ Warnung, dass Kamera oder Mikrofon beim iPhone aktuell aktiv sind, lässt sich offenbar umgehen. Das Sicherheitsforschungsteam des MDM-Spezialisten Jamf warnt in einer neuen Untersuchung davor, dass dies mindestens eine bekannte Spyware bereits tut. Dabei handelt es sich um die kommerziell erhältliche Spionagesoftware Predator vom Hersteller Intellexa/Cytrox. Immerhin: Damit der Trick funktioniert, muss das iPhone zuvor vollständig übernommen worden sein und die Spyware Kernelzugriff haben.
Eingriff ins System mit einem Hook
Im Gegensatz zum Mac, der eine physische LED für die Webcam-Anzeige verwendet, für die zumindest aktuell keine Hacks bekannt sind (allerdings früher), werden ein grünes Licht für Kamerazugriff (plus gegebenenfalls Mikrofon) und ein oranges Licht für Mikrofonzugriff auf iPhones und iPads rein grafisch dargestellt. Predator nutzt zur Umgehung dieser tief im System verankerten Funktion eigene Hooks und Code-Injections, die Systemprozesse aushebeln.
Videos by heise
In ihrer Studie, die keine neuen Angriffsformen für die jüngste iOS-Version beschreibt, sondern ein Reverse-Engineering von Predator vornimmt, wird ein einzelner Hook identifiziert, der sowohl Kamera- als auch Mikrofonanzeige aushebeln kann. Frühere Ansätze arbeiteten anders, simulierten ein Herunterfahren des gesamten Geräts, um dann Kamera und Mikrofon aktiv zu lassen. Predator unterdrückt hingegen nur die Anzeige, während das iPhone normal weiterarbeitet.
Spyware braucht kompletten iPhone-Zugriff
Aus der Jamf-Studie geht nicht hervor, was Apple tun könnte, um diese Angriffsform abzuwehren – oder ob die ausgenutzten Lücken weiterhin bestehen beziehungsweise überhaupt abgewehrt werden könnten. "Diese Erkenntnisse schließen Lücken in den vorhandenen Bedrohungsinformationen und zeigen die ausgeklügelten Post-Exploitation-Techniken auf, die von kommerzieller Spyware eingesetzt werden, um die Datenschutzmaßnahmen von iOS zu umgehen", schreiben die Forscher. Wir haben bei Jamf angefragt, wie man die aktuelle Lage dort einschätzt.
Informationen zu Predator waren bereits 2024 bekannt geworden – die Google Threat Intelligence Group hatte die Angriffe aufgedeckt. Bei der Spyware handelt es sich um eine vermutlich sehr teure und nur für gezielte Angriffe eingesetzte Software. Um die Kamera- und Mikrofonanzeige auszuhebeln, muss sie wie erwähnt vollen Zugriff auf das iPhone haben, was nur über die Ausnutzung schwerwiegender Zero-Day-Lücken geht. Diese treten allerdings immer wieder auf.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
