Großer iPhone-Angriff richtete sich angeblich gegen uigurische Muslime
Eine von Google entdeckte Hack-Kampagne, die iOS-Zerodays nutzte, richtete sich angeblich gegen Personen in der chinesischen Provinz Xinjiang, so ein US-Medium.
iPhone-User in China.
(Bild: dpa, David Moir/AAP/Illustration)
Eine spektakuläre Angriffswelle gegen Apple-Geräte soll ihren Ausgangspunkt in China haben. Das berichtet das IT-Blog TechCrunch unter Berufung auf informierte Kreise. Ziel der Kampagne seien uigurische Muslime gewesen, die in der chinesischen Provinz Xinjiang leben.
Ausgefeilte Exploit-Chains
Googles Sicherheitslabor Project Zero hatte zuvor aufgedeckt, dass über mehrere ausgefeilte Exploit-Chains mindestens zwei Jahre lang iPhones tausender Nutzer gehackt worden waren – verwendet wurden dabei von Apple ungepatchte Lücken (Zerodays), die in iOS 10, 11 und 12 steckten. Dabei soll es ausgereicht haben, bestimmte Websites zu besuchen, um sich ein sogenanntes Implant mit Schadcode einzufangen, das auf dem Gerät dann nahezu freie Hand hatte. So wurden etwa verschlüsselte Chats, SMS, Fotos und Inhalte bekannter Apps abgesaugt, zudem war ein GPS-Tracking möglich.
Versuche der Handy-Überwachung in Xinjiang mittels Schadcode waren bereits zuvor bekannt geworden – allerdings hatten sich diese nach früheren Erkenntnissen vor allem gegen Android-Nutzer gerichtet. Chinesische Zollbeamte sollen etwa Malware auf Geräte beim Grenzübertritt aufgespielt haben. Zudem gab es Durchsuchungen von iPhones mit spezieller Hardware. iOS-Angriffe per Drive-by-Download sind dagegen eine neue Dimension.
Google nannte Urheber nicht
Das Project Zero von Google hatte zuvor keine Angaben über die Herkunft der Angriffe gemacht. Beobachter hatten jedoch spekuliert, dass es sich aufgrund der Breite der Maßnahme wohl um einen "state-sponsored actor", also eine staatliche finanzierte Gruppierung, gehandelt haben könnte. iPhone-Exploits sind auf dem Sicherheitsmarkt sehr teuer, weshalb bislang die Ansicht galt, dass Massenangriffe auf diese Geräte nicht vorgenommen werden; stattdessen galten gezielte Überwachungsmaßnahmen als realistischer, etwa gegen bestimmte Dissidenten. Die Exploit-Kampagne, die mehrere solcher Lücken geschickt kombinierte, zeigt nun, dass dem offenbar nicht so ist – zumindest, wenn der Angreifer über ausreichende Mittel verfügt.
Apple hatte mehrere der Lücken – andere waren zuvor gepatcht worden – innerhalb kurzer Zeit im Februar 2019 mit iOS 12.1.4 behoben, nachdem der Konzern von Google informiert worden war. Neben TechCrunch berichtete auch das US-Wirtschaftsmagazine Forbes, dass sich die Kampagne gegen Uiguren richtete. Dort hieß es, die Websites, die den Schadcode vertrieben, hätten auch Android- und Windows-Geräte angegriffen. Angeblich sollen die Opfer mit einem Trick dazu gebracht worden sein, einen Link zu öffnen. Betroffen waren demnach sowohl Bewohner von Xinjiang als auch Menschen in der uigurischen Diaspora.
Seiten im Google-Index
TechCrunch zufolge tauchten die Seiten im Google-Index auf, weshalb User auch von Außen auf sie gelenkt wurden und deshalb nicht nur Uiguren betroffen gewesen sein könnten. Die US-Bundespolizeibehörde FBI soll den Suchriesen darauf aufmerksam gemacht haben. Google wollte den Bericht nicht kommentieren. Ian Beer von Project Zero hatte zuvor mitgeteilt, dass es bei dem Angriff "keinerlei Diskriminierung der Ziele" gegeben habe.
In seiner ausführlichen Analyse hatte der Sicherheitsforscher auch erwähnt, dass im Schadcode einige Details steckten, die eher laienhaft waren. So soll die Übertragung der Daten vom iPhone ohne HTTPS-Verschlüsselung erfolgt sein und die IP-Adressen der Server, an die sie zu gehen hatten, waren hart codiert, konnten also nicht gewechselt werden. (bsc)
