FORCEDENTRY: iMessage Zero-Click Exploit im Check

Erneuter Zero-Click-Angriff mit Pegasus-Spyware

Die Überwachungssoftware Pegasus steht erneut in der Kritik. Bei der Analyse des Smartphones eines saudi-arabischen Aktivisten stellte sich heraus, dass die NSO Group einen Zero-Click-Exploit gegen iMessage einsetzte. Dieser Exploit ist auch unter dem Namen ForcedEntry bekannt. Betroffen sind sämtliche Apple-Geräte mit den Betriebssystemen iOS, macOS und watchOS. Zwar hat Apple inzwischen aktualisierte Versionen der Betriebssysteme veröffentlicht, doch ließ sich die iMessage-App zuvor für den Zero-Click-Exploit missbrauchen. Der Angriff zielt auf die integrierte Bildwiedergabebibliothek und erfordert keinerlei aktives Zutun des Nutzers.

Apple- und Android-Nutzer sind betroffen – Endgeräte auf dem neuesten Stand halten

Der Zero-Click-Exploit der NSO Group, einem Söldner-Spyware-Unternehmen, richtet sich in erster Linie gegen die neuesten Apple-Geräte, gibt jedoch auch Android-Nutzern Anlass zur Sorge. Mithilfe der Überwachungssoftware lassen sich zahlreiche sensible Daten auslesen und von unbefugten Dritten verwenden. Experten vermuten, dass die ForcedEntry-Sicherheitslücke bereits seit Februar 2021 für den Zero-Click-Exploit ausgenutzt wird. Um die Gefahr zu minimieren und die Schwachstelle zu schließen, sollten Sie Ihre Apple-Geräte umgehend aktualisieren, sofern Sie das Update noch nicht installiert haben.

Greifen .psd-Dateien den IMTranscoderAgent an?

Die Analyse eines Backups des Aktivisten ergab, dass sich in der Bibliothek, den SMS-Nachrichten und den Anhängen mehrere Dateien mit der Erweiterung .gif befanden. Diese Dateien dienten unmittelbar dem Zero-Click-Exploit und standen den Angreifern bis vor Kurzem zur Verfügung. Tatsächlich handelt es sich dabei jedoch nicht um Bilder, sondern um Adobe-PSD-Dateien. Sie sind darauf ausgelegt, den IMTranscoderAgent auf dem Gerät zum Absturz zu bringen. Alle Dateien hatten gemeinsam, dass ihre Dateinamen aus scheinbar zehn zufälligen Zeichen bestanden. Einige enthielten zudem einen codierten JBIG-2-Stream und wiesen sehr lange Dateinamen auf. Sollten Sie solche Dateien auf Ihrem Smartphone entdecken, ist besondere Vorsicht geboten.

Obwohl sich die Experten noch nicht vollständig sicher sind, wird vermutet, dass diese Dateien zu einem Absturz und einer sogenannten ForcedEntry-Exploit-Kette führen beziehungsweise eine solche enthalten könnten. Am 7. September wurde Apple über die bestehende Sicherheitslücke informiert. Am 13. September bestätigte Apple die Vermutungen des Citizen Lab. Seitdem wurde intensiv an einer Lösung für den ForcedEntry-Exploit gearbeitet, der unter der Kennung CVE-2021-30860 geführt wird. Im Kern handelt es sich um ein manipuliertes PDF, das so aufbereitet ist, dass es beliebigen Code ausführen kann. Der Exploit nutzt dabei eine Integer-Overflow-Schwachstelle in Apples Bildwiedergabebibliothek CoreGraphics aus.

Apple schließt die Sicherheitslücke

Als iPhone-Besitzer gehörten Sie bislang zur Zielgruppe des Zero-Click-Angriffs durch die Überwachungssoftware Pegasus. Inzwischen hat Apple die Sicherheitslücke jedoch geschlossen, sodass sie nicht länger für den Zero-Click-Exploit auf das Betriebssystem ausgenutzt werden kann. Das bedeutet: Die Software lässt sich nicht mehr ohne Ihr Zutun einsetzen, um Ihr Gerät zu kompromittieren und Ihre Daten zu entwenden.

Die kritische Schwachstelle wurde Apple von Forschern des Citizen Lab der Universität Toronto gemeldet. Sie erhielt die Bezeichnung ForcedEntry und wurde mindestens seit Februar 2021 von der Überwachungssoftware ausgenutzt. Entdeckt wurde sie erstmals bei der Analyse eines Smartphones, das einem saudi-arabischen Aktivisten gehörte.

Präparierte PDF-Dateien lösten einen Integer-Overflow aus

Für den Zero-Click-Exploit kamen offenbar manipulierte PDF-Dateien zum Einsatz, die an die betroffenen Geräte gesendet wurden. Sie trugen die Dateiendung .gif, obwohl es sich tatsächlich um PDF-Dateien handelte. Sobald iMessage diese Dateien empfing, wurden sie von CoreGraphics, Apples Bild-Rendering-Bibliothek, verarbeitet. Das Ergebnis war ein Integer-Overflow, über den sich Schadcode ausführen ließ. Diese Sicherheitslücke, die beim API Pentest nicht entdeckt worden war, ermöglichte es der NSO Group, die Pegasus-Software auf den betroffenen Geräten zu installieren und die Besitzer der Smartphones umfassend zu überwachen.

Um diesen Zero-Click-Exploit zu unterbinden, hat Apple die ForcedEntry-Sicherheitslücke geschlossen. Zusätzlich wurde die Schwachstelle in der Rendering-Engine WebKit behoben, die ebenfalls für Schadcode ausgenutzt werden konnte. Die notwendigen Software-Updates stellte Apple für alle Geräte bereit: iPhones (iOS 14.8), iPads (iPadOS 14.8), Macs (macOS Big Sur 11.6) und die Apple Watch (watchOS 7.6.2).

NSO Group steht wegen Pegasus in der Kritik

Seit Mitte Juli wächst die Kritik an den Spyware-Geschäften der NSO Group. Ihre Aktivitäten sind seit Jahren bekannt, und sowohl staatliche als auch nichtstaatliche Organisationen wie Amnesty International verurteilen die NSO Group scharf. Dass die Gruppe erneut in den öffentlichen Fokus geriet, lag daran, dass unter anderem Journalisten, Geschäftsleute, Menschenrechtler und deren Familienangehörige die Pegasus-Spyware auf zahlreichen Smartphones entdeckt hatten.

Die Überwachungssoftware gelangte über einen Zero-Click-Exploit auf die Smartphones der Betroffenen -- ganz ohne deren Zutun. Besonders problematisch: Der Exploit ermöglichte umfassenden Zugriff auf die gespeicherten Daten. Mehr als 50.000 Telefonnummern gerieten auf diese Weise in die Hände Unbefugter. Selbst die Telefonnummer von Präsident Emmanuel Macron sollen Cyberkriminelle auf diesem Weg erlangt haben.

So gehen Cyberkriminelle bei Zero-Click-Angriffen vor

Das Risiko im Cyberspace ist längst allgegenwärtig -- und es wächst stetig. Das liegt nicht nur daran, dass die Anzahl der Cyberangriffe zunimmt, sondern auch daran, dass sie immer raffinierter werden. Als Nutzer müssen Sie nicht einmal selbst aktiv werden oder einen Fehler begehen, um Opfer eines Angriffs zu werden. Ein anschauliches Beispiel ist die Pegasus-Spyware, die ohne jegliches Zutun der Anwender auf zahlreiche iPhones eingeschleust wurde. Eine Zero-Day-Sicherheitslücke in der iMessage-Software diente den Cyberkriminellen als Einfallstor.

Bei einem Zero-Click-Exploit nutzen Kriminelle Schwachstellen oder Sicherheitslücken aus, die sie im Betriebssystem oder in einer mobilen App finden. Von besonderem Interesse ist dabei die sogenannte Zero-Day-Schwachstelle -- eine Lücke, die dem Hersteller nicht bekannt ist, beispielsweise weil kein API Pentest durchgeführt wurde. Da die Schwachstelle unentdeckt bleibt, kann weder die Infrastruktur angepasst noch ein Sicherheitspatch bereitgestellt werden.

Wichtig: Um die Gefahr eines Zero-Click-Exploits zu minimieren, sollten Sie stets darauf achten, alle bereitgestellten Sicherheitsupdates und Patches zeitnah zu installieren. Allerdings reicht ein Update allein nicht immer aus, um den Zero-Click-Exploit vollständig zu verhindern. Informieren Sie sich deshalb regelmäßig über bekannte Sicherheitsprobleme.

Eine verbreitete Methode beim Zero-Click-Exploit ist der sogenannte Jailbreak. Dabei werden die Nutzungsbeschränkungen des Geräts oder der mobilen App unbefugt aufgehoben. Funktionen, die der Hersteller zuvor gesperrt hatte, werden dadurch freigeschaltet. Im Ergebnis erhält ein unautorisierter Dritter durch den Zero-Click-Exploit beispielsweise Root-Zugriff auf das Gerät.