Spyware-Kampagne: Unsichtbare Kalender-Einladungen konnten iPhone knacken
Journalisten, Politiker und Aktivisten wurden unbemerkt von Spionagetechnik der Firma QuaDream angegriffen. Geklickt werden musste nicht.
(Bild: Erstellt mit Midjourney durch Mac & i)
Zwischen Januar und November 2021 gab es offenbar eine bislang unbekannte Spyware-Kampagne, bei der iPhone-Besitzer über eine schwerwiegende Lücke in iOS angegriffen wurden – die nahezu komplette Geräteübernahme inklusive. Die Angriffswelle wurde nun von der Computersicherheitsgruppe Citizen Lab an der University of Toronto in Zusammenarbeit mit Microsofts Threat-Intelligence-Abteilung ausgehoben. Betroffen waren Geräte, auf denen iOS-Versionen bis hoch zu 14.4.2 installiert waren. Angegriffen wurden offenbar iPhones ab iOS 14.4; ob auch frühere Versionen betroffen waren, blieb zunächst unklar. Die Kampagne lief, während die Lücken noch offen standen und Apple sie nicht kannte (Zero-Day-Exploit).
Keine Nutzerinteraktion notwendig
Die Spyware-Kampagne soll laut Citizen Lab von QuaDream ausgehen, einer israelischen Sicherheitsfirma. Was deren Software kann, wurde jetzt erstmals aufgedeckt. Eintrittstor waren sogenannte unsichtbare iCloud-Kalendereinladungen, deren Datum nach hinten gesetzt wurde. Kommen diese auf dem Gerät an, gibt es für den Nutzer keine Benachrichtigung, sie landen aber automatisch im Kalender. Dann griff ein Exploit, den Citizen Lab als "ENDOFDAYS" bezeichnet. Dieser läuft als Zero-Click-Angriff ab, es braucht also keinerlei Nutzerinteraktion.
Ausspioniert wurden demnach "mindestens fünf Personen aus der Zivilgesellschaft", heißt es in dem Bericht weiter. Sie stammen aus Nordamerika, Zentralasien, Südostasien, Europa und dem Nahen Osten. "Zu den Opfern gehören Journalisten, politische Oppositionelle und ein NGO-Mitarbeiter. Wir nennen die Namen der Opfer zu diesem Zeitpunkt nicht." Zu den betroffenen Ländern zählen Bulgarien, die Tschechische Republik, Ungarn, Ghana, Israel, Mexiko, Rumänien, Singapur, die Vereinigten Arabischen Emirate und Usbekistan.
KingsPawn löscht sich selbst
Die Malware, die bei Microsoft Thread-Intelligence-Abteilung unter dem Begriff KingsPawn läuft, hatte eine Selbstlöschfunktion, um nach der Spionage Spuren zu verwischen. Citizen Lab gelang es aber, einen Prozessnamen zu extrahieren, der von der Spyware verwendet wurden, dies erlaubte eine Nachverfolgung.
Die QuaDream-Spyware soll zahlreiche Funktionen haben, die das iPhone quasi komplett offenlegen. Dazu gehört die Aufnahme von Umgebungsgeräuschen per Mikrofon, das Fotografieren mit Selfie- und Hauptkamera, die Aufnahme von Anrufen, das Auslesen des Schlüsselbundes mit den Passwörtern, SQL-Datenbankabfragen über die auf dem Gerät enthaltenen Informationen, Dateisystemdurchsuchung, Tracking der Geodaten und sogar Zugriff auf 2FA-Routinen, damit die Angreifer auch das iCloud-Konto übernehmen konnten. Der Vorfall erinnert hat einen ähnlichen Zero-Click-Exploit, den die mittlerweile berühmt gewordene Spyware Pegasus der NSO Group über iMessage abgesetzt hatte.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
