iPhones still infiziert: Pegasus-Spyware war auch gegen iOS 16 erfolgreich
<html> <header class=„article-header“><h1 class=„articleheading“>iPhones still infiziert: Pegasus-Spyware war auch gegen iOS 16 erfolgreich</h1><div class=„publish-info“> Leo Becker</div></header><figure class=„aufmacherbild“><img src=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/4/1/4/5/3/3/9/webpc-passthru-22718c55c40f89a0.jpeg“ srcset=„https://heise.cloudimg.io/width/700/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/4/1/4/5/3/3/9/webpc-passthru-22718c55c40f89a0.jpeg 700w, https://heise.cloudimg.io/width/1050/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/4/1/4/5/3/3/9/webpc-passthru-22718c55c40f89a0.jpeg 1050w, https://heise.cloudimg.io/width/1500/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/4/1/4/5/3/3/9/webpc-passthru-22718c55c40f89a0.jpeg 1500w, https://heise.cloudimg.io/width/1919/q75.png-lossy-75.webp-lossy-75.foil1/_www-heise-de_/imgs/18/4/1/4/5/3/3/9/webpc-passthru-22718c55c40f89a0.jpeg 1919w“ alt=„Lockdown-Modus benachrichtigt über Home-Zugriff“ class=„img-responsive“ referrerpolicy=„no-referrer“ /><figcaption class=„akwa-caption“>(Bild: Citizen Lab)</figcaption></figure><p><strong>Die Überwachungs-Software kam einer Analyse zufolge über Systemdienste wie HomeKit und iMessage auf iPhones. Apples Lockdown-Modus kann aber schützen.</strong></p><p>Die Firma NSO Group gehen offensichtlich die Schwachstellen nicht aus, mit denen sich iPhones hacken lassen: Allein im vergangenen Jahr kamen mindestens drei neue Exploit-Chains zum Einsatz, um die notorische Spyware Pegasus auf Geräten mit iOS 15 sowie iOS 16 einzuschleusen, wie das zur Universität Toronto gehörende Citizen Lab <a href=„https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-returns-in-2022/“ rel=„external noopener“ target=„_blank“><strong>in einer neuen Analyse darlegt [1]</strong></a>. Es habe sich dabei um Zero-Click-Exploits gehandelt, Nutzer müssen damit also nicht etwa erst zum Antippen eines manipulierten Links gebracht werden. Spuren der Spyware waren laut Citizen Lab unter anderem auf iPhones von zwei mexikanischen Menschenrechtlern zu finden.</p><h3 class=„subheading“ id=„nav_von_home_zu0“>Von Home zu iMessage: Exploit in mehreren Stufen</h3><p>Offenbar nutzte die Spyware dafür standardmäßig aktive Einladungsfunktionen in Apple-Diensten, darunter „Wo ist?“ sowie Apple Home respektive einen Prozess, der zu Apples Smart-Home-Protokoll HomeKit gehört – beides in einem zweistufigen Prozess im Zusammenspiel mit iMessage. Apples Messaging-Dienst war schon in der Vergangenheit das Einfallstor für die Überwachungs-Software, ebenso wie auch andere Messenger wie WhatsApp.</p><p>Über eine Kombination von vermutlich nur der NSO Group bekannten Sicherheitslücken in iOS konnte sich die Spyware demnach erfolgreich auf iPhones mit iOS 15.5, iOS 15.6 und schließlich auch iOS 16.0.3 einschleusen. Der „PWNYOURHOME“ genannte Exploit hat der Analyse zufolge zuerst eine Schwachstelle in dem zu Apple Home gehörenden Systemprozess
homed
genutzt und dann mit Hilfe eines heruntergeladenen iMessage-Bildanhangs einen Absturz im iMessage-Prozess „MessagesBlastDoorService“ ausgelöst, um so den Schadcode auszuführen.</p><p>Das habe auch funktioniert, wenn der Nutzer Apples Smart-Home-Funktionen gar nicht verwendet und Apple Home nie eingerichtet hat, schreibt Citizen Lab. Die Forscher gaben ihre Erkenntnisse auch an Apple weiter, der Hersteller habe sein Betriebssystem in dieser Hinsicht dann mit Änderungen an HomeKit in Version iOS 16.3.1 besser abgesichert.</p><h3 class=„subheading“ id=„navlockdown_modus1“>Lockdown-Modus neu in iOS 16</h3><p>War Apples mit iOS 16 neu eingeführter Lockdown-Modus („Blockierungsmodus“) aktiv, erhielt der Nutzer einen Hinweis auf den Angriff – und man habe keine Hinweise auf eine erfolgreiche Kompromittierung des Gerätes gefunden. Der Modus schaltet verschiedene Dienste ab, darunter auch die offenbar ausgenutzten Einladungsfunktionen und Freigabefunktionen. Außerdem konnte Citizen Lab keine erfolgreiche Infektion mit PWNYOURHOME ab iOS 16.1 mehr beobachten. Aktuell ist iOS 16.4.1, Nutzer sollten darauf achten, ihre Geräte stets auf den neuesten Softwarestand zu bringen.</p><div class=„a-u-inline ho-text c3“><header class=„mb-4“><h3 class=„inline-flex border-b-4 border-gray-800 pb-2 pr-8 text-xl leading-none font-bold dark:border-white“>Lesen Sie auch</h3></header><section data-component=„TeaserList“ class=„grid gap-6 md:gap-y-4“ data-sneak-peek-elements-container=„true“><article data-component=„TeaserContainer“ data-cid=„7073968“ data-content-id=„3533424“ class=„ho-text flex“ data-teaser-name=„MinimalHorizontalTeaser“ data-upscore-object-id=„7073968“><a data-component=„TeaserLinkContainer“ href=„https://www.heise.de/hintergrund/Analyse-Wie-die-iPhone-Spyware-Pegasus-vorging-7073968.html“ class=„group flex“ data-google-interstitial=„false“ data-upscore-url=„true“><figure data-component=„Image“ class=„mr-2 w-24 shrink-0 md:mr-4 md:w-40“><div class=„ff-a-img“><img data-ff-replacement=„1“ width=„1920“ height=„1079“ src=„https://www.heise.de/imgs/18/3/5/3/3/4/2/4/mi_22_02_ims_pegasus_exploit_unsichtbarereinbrecher_aufmacher_312513222_digital-09e1a781f437d581.png“ alt=„, Sergey Nivens, stock.adobe.com“ class=„c1“ referrerpolicy=„no-referrer“ /></div></figure><div class=„-translate-y-1“><header data-component=„TeaserHeader“><h3 class=„flex flex-col“>Analyse: Wie die iPhone-Spyware Pegasus vorging</h3></header></div></a></article></section></div><p>Ein Apple-Sprecher erklärte gegenüber der Washington Post lediglich, die Angriffe würden nur „eine sehr kleine Zahl“ der Kunden betreffen und Apple werde weitere Sicherheitsfunktionen einbauen. Citizen Lab rät Nutzern, die potenzielle Opfer von staatlichen Spyware-Angriffen sind, den Blockierungsmodus zu aktivieren. Das mache die iPhone-Nutzung zwar unbequemer, erhöhe aber auch die Kosten für Angreifer.</p><div class=„opt-incontent-container“><h2 class=„opt-intitle“>Empfohlener redaktioneller Inhalt</h2><p class=„opt-indescription“>Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.</p><div class=„opt-incta-container“><label class=„opt-incta-persistence“><input class=„opt-inpersistence-checkbox“ data-should-persist=„“ type=„checkbox“ /> Preisvergleiche immer laden</label> <button class=„opt-incta“ data-opt-in=„“>Preisvergleich jetzt laden</button></div><p class=„opt-infootnote“>Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer <a href=„https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html“><strong>Datenschutzerklärung [2]</strong></a>.</p></div><p>() </p><p><strong>URL dieses Artikels:</strong><small>
https://www.heise.de/-8971140
</small></p><p><strong>Links in diesem Artikel:</strong><small>
<strong>[1]</strong> https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-returns-in-2022/
</small><small>
<strong>[2]</strong> https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
</small><small>
<strong>[3]</strong> https://www.heise.de/mac-and-i/
</small><small>
<strong>[4]</strong> mailto:lbe@heise.de
</small></p><p class=„printversion__copyright“><em>Copyright © 2023 Heise Medien</em></p> </html>
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International