PenetrationstestJan Kahmen8 min Lesezeit

FORCEDENTRY: iMessage Zero-Click Exploit im Check

Eine Analyse des Smartphones eines saudi-arabischen Aktivisten ergab, dass die NSO Group einen Zero-Click Exploit gegen iMessage nutzte.

Inhaltsverzeichnis

Erneuter Zero-Click-Angriff mit Pegasus Spyware

Die Überwachungssoftware Pegasus ist erneut in die Kritik geraten. Eine Analyse des Smartphones eines saudi-arabischen Aktivisten ergab, dass die NSO Group einen Zero-Click Exploit gegen iMessage nutzte. Dieser Zero-Click Exploit wird auch als ForcedEntry bezeichnet. Betroffen davon sind Apple Geräte, die die Betriebssysteme iOS, MacOS und WatchOS nutzen. Zwar ist mittlerweile eine neue Version der Betriebssysteme veröffentlicht, doch konnte die Mobile App iMessage bisher für den Zero-Click Exploit genutzt werden. Die integrierte Bildwiedergabebibliothek ist das Ziel dieses Angriffs und kommt ohne Ihr aktives Zutun aus.

Apple und Android Nutzer sind betroffen – Endgeräte auf neuestem Stand halten

Der Zero-Click Exploit durch die NSO Group, ein Söldner-Spyware-Unternehmen, zielt vor allem auf die neusten Apple-Geräte ab, ist jedoch auch für Android-Nutzer ein Grund zur Sorge. Mit der Überwachungssoftware lassen sich zahlreiche sensible Daten auslesen und von unbefugten Dritten nutzen. Es wird vermutet, dass die ForcedEntry Sicherheitslücke bereits seit Februar 2021 für den Zero-Click Exploit genutzt wird. Um die Gefahren zu minimieren und die Schwachstelle zu schließen, ist es wichtig, dass Sie Ihre Apple-Geräte aktualisieren, sofern Sie das Update noch nicht installiert haben.

Greifen .psd Dateien IMTranscoderAgent an?

Die Analyse eines Back-ups des Aktivisten ergab, dass sich mehrere Dateien mit einer .gif Erweiterung in der Bibliothek, den SMS und den Anhängen befanden. Diese Dateien wurden unmittelbar für den Zero-Click Exploit genutzt und standen den Hackern bis vor Kurzem zur Verfügung. Bei diesen Dateien handelt es sich allerdings nicht um Bilder, sondern um Adobe-PSD-Dateien. Diese sind darauf ausgelegt, dass sie den IMTranscoderAgent auf dem Gerät zum Absturz bringen. Allen gemein war, dass der Dateiname sich scheinbar aus zehn zufälligen Zeichen zusammensetzte. Einige dieser Dateien enthielten außerdem einen codierten JBIG-2 Stream und hatten sehr lange Dateinamen. Sollten Sie solche Dateien auf Ihrem Smartphone entdeckt haben, ist Vorsicht geboten. Obwohl die Experten sich noch nicht ganz sicher sind, wird vermutet, dass diese Dateien zu einem Absturz und einer sogenannten ForcedEntry-Exploit-Kette führen, beziehungsweise diese beinhalten könnten. Am 7. September wurde Apple über die bestehende Sicherheitslücke wurde Apple informiert. Am 13. September bestätigte Apple, was die Mitarbeiter des Citizen Lab bis dahin vermuteten. Seither wurde verstärkt an einer Lösung für den ForcedEntry-Exploit gearbeitet, der als CVE-2021-30860 aufgeführt wurde. Allgemein lässt er sich als ein bösartiges PDF deklarieren, die auf eine Art und Weise verarbeitet ist, sodass sie willkürlichen Code ausführen kann. Dabei bedient sich der Exploit einer Integer-Überlauf-Schwachstelle, die sich bisher in der Bildwiedergabebibliothek CoreGraphics von Apple befunden hat.

Apple schließt Sicherheitslücke

Mit einem iPhone gehörten Sie bislang zu der Zielgruppe für den Zero-Click-Angriff durch die Überwachungssoftware Pegasus. Mittlerweile hat Apple die Sicherheitslücke jedoch geschlossen, sodass sie nicht länger für den Zero-Click Exploit auf das Betriebssystem genutzt werden kann. Das bedeutet, dass die Software nicht ohne Ihr Zutun dazu genutzt werden kann, um Ihr Gerät zu hacken und Ihre Daten zu entwenden. Die kritische Lücke in der Infrastruktur wurde Apple durch Forscher des Citizen Lab der Universität Toronto gemeldet. Diese Sicherheitslücke wurde als ForcedEntry bezeichnet und mindestens seit Februar 2021 von der Überwachungssoftware genutzt. Sie fiel erstmals bei der Analyse eines Smartphones auf, das einem saudi-arabischen Aktivisten gehörte.

Präparierte PDF-Files lösten einen Integer-Overflow aus

Scheinbar wurden für den Zero-Click Exploit präparierte PDF-Files genutzt, die an die betroffenen Geräte gesendet wurden. Diese wurden mit der Dateiendung .gif gesendet, obwohl es sich dabei um klassische PDF-Dateien handelte. Sobald diese Dateien durch das iMessage empfangen wurden, wurden sie von CoreGraphics, der Bild-Rendering-Bibliothek Apples, verarbeitet. Das Ergebnis war ein Integer-Overflow, durch den der Schadcode ausgeführt werden konnte. Diese Sicherheitslücke, die beim API Pentest nicht entdeckt wurde, konnte die NSO dazu nutzen, die Pegasus Software auf den betroffenen Geräten zu installieren. Somit war es ihnen möglich, die Eigentümer der Smartphones umfassend zu überwachen.API Pentest Um diesen Zero-Click Exploit zu unterbinden, hat Apple die ForcedEntry Sicherheitslücke geschlossen. Zusätzlich wurde die Lücke im Rendering-Engine Webkit behoben, die ebenfalls für Schadcode genutzt werden konnte. Die notwendigen Software-Updates veröffentlichte Apple für alle Geräte: iPhones (iOS 14.8), iPads (iPadOS 14.8), Macs (MacOS Big Sur 11.6) und die Apple Watch (WatchOS 7.6.2).

NSO Group erhält Kritik für Pegasus

Seit Mitte Juli steigt die Kritik an den Spyware-Geschäften der NSO Group. Diese Aktivitäten sind seit Jahren bekannt und sowohl staatliche wie nicht-staatliche Organisation wie Amnesty International kritisieren die NSO Group scharf. Dass die Gruppe erneut in den öffentlichen Fokus geriet, lag daran, dass unter anderem Journalisten, Geschäftsleute, Menschenrechtler und deren Familienangehörige die Pegasus Spyware auf zahlreichen Smartphones gefunden haben. Die Überwachungssoftware gelangte über einen Zero-Click Exploit auf die Smartphones der Betroffenen – ohne ihr eigenes Zutun. Das Problem an diesem Zero-Click Exploit war, dass sie einen umfassenden Zugriff auf die gespeicherten Daten bot. Mehr als 50.000 Telefonnummern gerieten auf diese Weise in die Hände Unbefugter. Selbst die Telefonnummer des Präsidenten Emmanuel Macron sollen Cyberkriminelle so erhalten haben.

So gehen Cyberkriminelle bei Zero-Click-Angriffen vor

Das Risiko im Cyberspace ist längst allgegenwärtig und wird größer. Das hat nicht nur den Grund, dass die bloße Menge an Cyberangriffen zunimmt - sie werden immer ausgefeilter. Als Benutzer müssen Sie nicht unbedingt selbst aktiv werden oder einen Fehler machen, um ihm zu erliegen. Ein gutes Beispiel dafür ist die Pegasus Spyware, die ohne das Zutun der Anwender auf zahlreiche iPhones eingeschleust wurde. Eine Zero-Day-Sicherheitslücke in der iMessage Software war das Einstiegstor für die Cyberkriminellen. Bei einem Zero-Click Exploit nutzen die Kriminellen Schwachstellen oder Sicherheitslücken aus, die sie im Betriebssystem oder einer Mobile App finden. Von besonderem Interesse für diesen Zero-Click Exploit ist die sogenannte Zero-Day-Schwachstelle. Eine solche Schwachstelle ist dem Hersteller nicht aufgefallen, beispielsweise weil kein API Pentest durchgeführt wurde. Da die Lücke nicht bekannt ist, kann die Infrastruktur nicht angepasst werden, oder kein Sicherheitspatch herausgegeben werden. Wichtig: Um die Gefahr von einem Zero-Click Exploit zu minimieren, sollten Sie stets darauf achten, die bereitgestellten Sicherheitsupdates und -patches zu installieren. Allerdings reicht ein solches Update nicht immer aus, um den Zero-Click Exploit gänzlich zu unterbinden. Achten Sie deshalb darauf, sich stets über bestehende Problem zu informieren. Eine gängige Praxis beim Zero-Click Exploit ist der sogenannte Jailbreak. Dabei werden die Nutzungsbeschränkungen am Computer oder die der Mobile App unbefugt aufgehoben. Bestimmte Funktionen, die der Hersteller bis dahin gesperrt hatte, werden dadurch aktiviert. Das Ergebnis ist, dass ein unautorisierter Dritter durch den Zero-Click Exploit beispielsweise den Root-Zugriff erhält.

Erweitern Sie Ihren Horizont mit einer Reifegradanalyse!

Reifegradanalyse für 1990 € !

Buchen Sie unserer Kennenlernprojekt, um einen groben aber ganzheitlichen Überblick über Ihre Maßnahmen in der Informationssicherheit zu bekommen!

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: