Google: SolarWinds-Angreifer sollen iOS-0-Day-Lücke verwendet haben
Die mutmaßlich aus Russland stammenden Hacker nutzten eine auch in neueren iPhones steckende Lücke – der Schadcode kam über LinkedIn-Links.
(Bild: Towfiqu barbhuiya / Unsplash)
iPhones, deren Betriebssystem sich auf relativ aktuellem Stand befand, waren bis vergangenen März offenbar anfällig für schwerwiegende Angriffe über eine Safari-Lücke. Diese soll für zielgerichtete Attacken ausgenutzt worden sein.
Per Link in die Falle
Das berichtet Googles Threat Analysis Group (TAG) in einem Posting. Demnach verwendeten mutmaßlich aus Russland stammende Hacker einen 0-Day-Exploit, um iOS-User über manipulierte Links in die Falle zu locken. Die Angriffe kamen offenbar von der Gruppe, die hinter der SolarWinds-Kampagne steckte, bei der im vergangenen Jahr über die Supply Chain unter anderem Angriffe auf die US-Regierung gefahren wurden.
Der Bug mit der CVE-ID 2021-1879 wurde über angeblich zu LinkedIn führende Links ausgenutzt, die den Opfern zugesendet wurden. Von dem Server der Hacker wurde dann eine Payload heruntergeladen, die das iPhone öffnete. Allerdings konnte es über die Lücke nicht komplett übernommen werden – auch die iOS-Sandbox wurde nicht beeinträchtigt und es wurde kein "Implant" hinterlassen, mit dem die Hacker später erneut Zugriff bekommen hätten.
Sandbox-Escape muss nicht sein
Stattdessen erlaubte ihnen CVE-2021-1879, durch ein Deaktivieren des Same-Origin-Policy-Schutzes das Auslesen zahlreicher wichtiger Authentifizierungs-Cookies. Betroffen waren Google, LinkedIn selbst, Facebook, Yahoo sowie Microsoft. Die Zugangsinfos wurden via WebSocket auf einen Server der Angreifer exfiltriert. Glücklicherweise steckte die Lücke allerdings nicht im aktuellen iOS 14 – zumindest sieht dies laut Google danach aus, da die Angreifer dieses nicht ansprachen. Stattdessen musste auf dem iPhone iOS 12.4 bis 13.7 laufen. "Vergiss den Sandbox-Escape: Browser lassen sich durch Code-Ausführung missbrauchen", umschreibt TAG-Mitglied Amy Burnett den Bug.
Exploits wie jene für Safari sollen sich durch die Site Isolation-Funktion eigentlich verhindern lassen, die etwa in Chrome und Firefox steckt. CVE-2021-1879 wurde in iOS 12.5.2, iOS 14.4.2, iPadOS 14.4.2 und watchOS 7.3.3 laut Apple gefixt. In der Bug-Beschreibung heißt es, böswillige Web-Inhalte konnten zu "Universal Cross Site Scripting" führen. Apple warnte, dass der Fehler aktiv ausgenutzt wird.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
