Erneut Pegasus: HomeKit-Exploit für Spyware-Angriffe auf iPhones genutzt
Forensik-Software und Staatstrojaner nutzen Sicherheitslücken in Betriebssystemen aus, um verschlüsselte Daten aus Smartphones und Computern zu extrahieren beziehungsweise Zielpersonen in Echtzeit zu überwachen. Solche Spezialsoftware wird stets mit dem Argument vermarktet, schlimmen Verbrechen auf die Spur zu kommen. Eine Vielzahl von Berichten deutet darauf hin, dass Polizeibehörden diese missbrauchen, um unliebsame Journalisten und politische Aktivisten auszuspähen. Amnesty International stellte jüngst ein
Dossier über eine Vielzahl solcher Fälle vor, die sich in Serbien zugetragen haben. Darunter waren zwei Fälle, bei denen iPhones möglicherweise mit Spyware infiziert wurden.
Auf Seite 27 des Dossiers wird der Angriff erläutert: Die betroffenen Personen waren bei politischen Think-Tanks beschäftigt; ihre iPhones wurden im August 2023 beinahe gleichzeitig von iCloud-Konten kontaktiert. Laut Amnesty International kam dabei eine Schwachstelle in Apples Heimautomatisierungslösung HomeKit zum Einsatz. Es handelte sich um einen „Zero-Click Exploit“ – die Zielpersonen mussten also nicht einmal auf einen kompromittierten Link klicken, um die Attacke zu aktivieren.
Hinweis von AppleIm Oktober erhielten beide Betroffenen unabhängig voneinander eine Nachricht von Apple, dass ihr iPhone möglicherweise mithilfe von
Söldnersoftware angegriffen wurde. Ob die iPhones tatsächlich mit Spyware infiziert wurden, konnte das Amnesty International Security Lab nicht hundertprozentig feststellen. Trotzdem brachte es einiges über Form und Ursprung des Angriffs in Erfahrung: Gemäß der Analyse der Menschenrechtsorganisation ist diese Attacke auf den Spyware-Installer „Pegasus“ der NSO Group zurückzuführen – diese wird in Serbien bis in den Dezember 2024 eingesetzt.
Android-Phones auf Polizeiwache geknacktDas Dossier beschreibt eine Vielzahl weiterer Berichte serbischer Umwelt- und Jugend-Aktivisten sowie Journalisten. Es lässt vermuten, dass Attacken auf Smartphones zum regulären Werkzeug serbischer Behörden gehören. Amnesty International liegen mehrere Berichte von Menschen vor, die auf einer Polizeistation oder Behörde zur Aussage gebeten wurden und dabei ihr Smartphone in einem anderen Raum zurücklassen mussten. Als sie es zurückerlangten, waren Spuren von Datenextraktionen erkennbar. In solchen Fällen konnten die Sicherheitsforscher von Amnesty International Spuren des Entschlüsselungswerkzeugs
Cellebrite entdecken. In einem Fall zeigte eine Mitteilung, dass sämtliche Kontakte exportiert wurden; andere Smartphones hatten im Nachgang zusätzliche Software installiert, die sich unter anderem durch eine deutlich verringerte Akkulaufzeit bemerkbar machten.
Blockierungsmodus für exponierte PersonenSicherheitsforscher von Amnesty International haben im Jahr 2020 maßgeblich dazu beigetragen, das „Pegasus Project“ an die Öffentlichkeit zu bringen. Dabei wurden vielfache, weltweite Fälle publik, in denen Journalisten und Menschenrechtler erst via Pegasus-Software ausgespäht und später verschleppt oder gar umgebracht wurden. Apple reagierte mit der Entwicklung des „Blockierungsmodus“ für iOS (später auch iPadOS und macOS). Mit ihm werden einige Komfortfunktionen deaktiviert, in denen sich Sicherheitslücken verbergen könnten. Außerdem informiert das hauseigene Sicherheits-Team mehrmals jährlich Individuen, auf deren Apple-Accounts es
mögliche Attacken registriert hat.