Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Spähangriffe: Exploits ermöglichten Sideloading auf dem iPhone, NSO rechtfertigt sich vor Europäischem Parlament

Die NSO Group und die von ihr entwickelte Spyware Pegasus sorgen immer wieder für Kontroversen: Zuletzt wurde etwa bekannt, dass mehrere Vertreter der spanischen Regierung Opfer von Spähangriffen dieser Software wurden. Ein Vertreter des Unternehmens musste sich diese Woche den Fragen des Europäischen Parlaments Rede und Antwort stehen. Nun macht Google auf einen weiteren Akteur aufmerksam: Über einen perfiden Angriff habe das italienische Tech-Unternehmen RCS Labs Spionage ermöglicht, indem der Betroffene glaubte, eine App seines Netzbetreibers oder Handy-Herstellers installieren zu müssen.


Mobilfunkanbieter kooperierten
Googles Threat Analysis Group (TAG) greift in einem Blog-Beitrag die Geschehnisse rund um RCS Labs auf: Die Angriffe seien sowohl auf iPhones als auch auf Android-Smartphones in Italien und Kasachstan erfolgt. Die TAG weist darauf hin, dass in einigen Fällen eine Zusammenarbeit zwischen den Angreifern und den Mobilfunkanbietern erfolgt sein könnte: Die mobile Datenverbindung sei bei manchen Opfern gekappt worden. Daraufhin hätten sie eine Nachricht mit einem Link erhalten, welche über diese Unterbrechung informierte. Der Absender erklärte, dass die über den Link bereitgestellte App die Verbindung wieder herstellen könne. Das geschah auch tatsächlich – allerdings handelte es sich bei der Anwendung um Spähsoftware, die sich mit offiziellen Logos zierte, beispielsweise von Samsung.

Exploits erlaubten Sideloading auf dem iPhone
Auf Android-Smartphones führte der Link zu einer APK-Datei, beim iPhone wurden Betroffene angewiesen, bestimmte Profile des Apple Developer Enterprise Program zu installieren. Kam das Opfer dieser Aufforderung nach, so fand tatsächlich der Download einer App abseits des App Stores statt – ein Vorgang, den Apple eigentlich tunlichst verhindern möchte. Möglich wurde das unter anderem durch zwei Zero-Day-Exploits. Mittlerweile wurden sämtliche hierfür genutzten Sicherheitslücken von Apple spätestens mit iOS 15.2 geschlossen.

NSO: Fünf EU-Staaten nutzten Pegasus
Währenddessen machte auch die NSO Group wieder auf sich aufmerksam: Ihre Spyware Pegasus beschäftigte einen Ausschluss des Europäischen Parlaments, der einige Fragen an Chaim Gelfand, Chief Compliance Officer der NSO, stellte. Gelfand beteuerte, dass der Einsatz von Pegasus Terroranschläge verhindert und tausende Menschenleben gerettet habe. Einige der Abgeordneten monierten, dass der Befragte vielfach ausweichend antworte. Immerhin räumte Geland ein, dass fünf EU-Staaten Pegasus genutzt hätten, nannte allerdings keine Namen: Die näheren Details wolle er nachreichen. Auch Deutschland ist in dieser Sache kein unbeschriebenes Blatt: 2019 erwarb das Bundeskriminalamt Pegasus (siehe hier).
iPhone 16 Pro: Tippen oder Wischen ignoriert, Nutzer melden Touchscreen-Fehlverhalten
iPhone 16 Pro: Tippen oder Wischen ignoriert, N...
Visa sah Apple als "existenzielle Bedrohung" an
Visa sah Apple als "existenzielle Bedrohung" an
Vor 10 Jahren: 3 Milliarden für Beats
Vor 10 Jahren: 3 Milliarden für Beats
iPhone 16 Pro in Einzelteilen – Details zum Aufbau und zum neuen Modem
iPhone 16 Pro in Einzelteilen – Details zum Auf...
Apple aktualisiert Zubehör: Magic Mouse, Magic Keyboard, Magic Trackpad
Apple aktualisiert Zubehör: Magic Mouse, Magic ...
Mac mini M4: Reparaturhandbuch bestätigt austauschbare SSD +++ Angaben zum Stromverbrauch
Mac mini M4: Reparaturhandbuch bestätigt austau...
Erwartetes Oktober-Event: Die wahrscheinlichen Neuerungen der Mac- und iPad-Veranstaltung
Erwartetes Oktober-Event: Die wahrscheinlichen ...
watchOS 11: Apple trennt sich von vier Zifferblättern
watchOS 11: Apple trennt sich von vier Zifferbl...

Kommentare

Weia
Weia25.06.22 07:54
MacTechNews
Googles Thread Analysis Group (TAG)
Das Ding heißt Threat Analysis Group. 😂

Google hätte viel zu tun, wollte es all unsere Threads analysieren.
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
+4
Weia
Weia25.06.22 08:05
Ansonsten erschreckend, dass Überwachung mittlerweile offenbar als so normal oder unabwendbar hingenommen wird, dass solche Meldungen überhaupt nicht mehr kommentiert werden.
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
+6
MetallSnake
MetallSnake25.06.22 09:51
Weia
Ansonsten erschreckend, dass Überwachung mittlerweile offenbar als so normal oder unabwendbar hingenommen wird, dass solche Meldungen überhaupt nicht mehr kommentiert werden.

Was soll man dazu noch sagen? Es wurde alles gesagt. Es wurde sich aufgeregt. Aber Assange und Snowden werden nicht als Helden gefeiert sondern verfolgt. All die Aufregungen und Kämpfe sind ermüdend, und irgendwann resigniert auch der Letzte.
Das Schöne an der KI ist, dass wir endlich einen Weg gefunden haben, wie die Wirtschaft weiter wachsen kann, nachdem sie jeden Einzelnen von uns getötet hat.
+4
system7
system725.06.22 10:05
Wir sind nicht weit von der DDR entfernt. Die Mechanismen sind andere. Aber in vielen Belangen geht's klar in diese Richtung.
-12
Fuji_X25.06.22 14:21
Die DDR war doch mit der Stasi harmlos gegenüber zb CHINA !
+4
TotalRecall
TotalRecall25.06.22 14:23
In Europa wird es wenn hoffentlich nicht so weit kommen, also im Kerneuropa. Dafür sind die Freiheitswerte noch zu stark. Müssen diese aber verteidigen! Wie weit würde man selber gehen? So viel Mut/Initiative zeigen wie Assange und Snowden!?

In anderen Ländern sind die schon weiter im negativen, Ungarn zb. auch wenn nur schleichend. Ja diese und andere Entwicklungen sind so besorgniserregend. Und Chinesische Verhältnisse kann ich mir hier gar nicht vorstellen! Müssen so wachsam sein. Corona, der Ukraine Krieg, die Kriege insgesamt, die Umweltzerstörung, aber auch persönliche Probleme lassen das digitale häufig vergessen. Hängt klar vieles zusammen. Ach kann man noch so weit ausführen

system7
Wir sind nicht weit von der DDR entfernt. Die Mechanismen sind andere. Aber in vielen Belangen geht's klar in diese Richtung.
+1
Moka´s Onkel
Moka´s Onkel26.06.22 07:24
system7
Wir sind nicht weit von der DDR entfernt. Die Mechanismen sind andere. Aber in vielen Belangen geht's klar in diese Richtung.

Das halte ich für ziemlich ausgemachten Quatsch! Oder zumindest für Geschichtsklitterung derselben Kategorie, wie die Vorwürfe von Impfgegnern, dass sie sich wie Juden zur Zeit des Nationalsozialismus behandelt fühlen.

Es ist viel eher der übersteigerte Individualismus gepaart mit unglaublichem Egoismus (a la Kubicki), der den Zusammenhalt unserer Gesellschaften zerstört. Die eigenen sog. Freiheitsrechte stehen über allem, es gilt nur noch ICH,ICH, ICH! - Im Sinne von "sharing is caring - but I don't care!"

Ein bisschen gesunder Menschenverstand und die Erkenntnis, dass man nicht allein auf dieser Welt ist, scheint leider vielen abhanden gekommen zu sein.

Ich bin ein sehr großer Anhänger von Benjamin Franklin's Satz "Those who would give up essential liberty to purchase a little temporary safety deserve neither liberty nor safety." (Benjamin Franklin, Historical Review of Pennsylvania, 1759). Doch auch hier gilt es Augenmaß zu bewahren. Beides - Freiheit und Sicherheit - gibt es nicht ohne das jeweils andere und es ist eine gesunde gesellschaftliche Diskussion erforderlich, beides gut auszutarieren.

Um keine Missverständnisse aufkommen zu lassen: Ich verabscheue Pegasus und ähnliche Überwachungsmethoden. Sie sind meistens weniger ein Mittel zur Bewahrung von Sicherheit als viel mehr ein Zeichen von Angst vor Andersdenkenden oder Angst, den eigenen Status an etwas Besseres zu verlieren. Eine starke Demokratie sollte so etwas nicht nötig haben. Doch auch eine Demokratie muss verteidigt werden vor Angriffen der Neuen Rechten, Querdenker und ähnlich gelagerten Egoisten.
+5
Metti
Metti26.06.22 09:10
Ich denke, man muss hier schon zwischen ICH, ICH, ICH Egoismus und Datenhoheit unterscheiden.
Wenn ich sehe, welche Sammelwut von Staaten an den Tag gelegt wird, sehe ich hier durchaus Parallelen zur DDR.
Wozu benötigt z. B. die USA alle(!) biometirschen Daten aller(!) EU Bürger?

Es sollte genügen, von denen, die einreisen wollen Fingerabdrücke zu bekommen.

Auch bin ich besorgt, wer alles Zugriff auf Apples schöne neuen Funktionen zur Bildanalyse auf dem Gerät des Anwenders haben möchte (und ganz sicher auch
bekommt, da es der Gesetzgeber fordert).
Siehe:

Die jetzt angekündigte Funktion, die dem Nutzer mitteilt, welcher Vogel (welches Tier/Pflanze) sich auf seinem gerade geschossenem Foto befindet, bietet super Analysefunktionen. Auch der Zugriff aufs Internet ist dafür natürlich erforderlich und wird selbstverständlich erlaubt.
Es gehört nicht viel Phantasie dazu, hier die Suche nach bestimmten Gesichtern/Personen zu integrieren. Die Daten gehen dann gleich ungefragt und unbemerkt an unsere "Beschützer".

Ich sehe hier eine große Gefahr nicht nur für Freiheits- und Menschenrechtler. Jeder(!) kann hier ganz schnell in einen falschen Verdacht geraten.

Was derzeit möglich ist und von den meisten schulterzuckend hingenommen (möglicherweise sogar als tolles Feature bejubelt) wird, ist aus meiner Sicht besorgniserregend.
+3
Martek26.06.22 10:08
Also bei iOS konnte man schon immer Sideloaden wenn man ein Enterprise Zertifikat benutzt. Verstehe die Aufregung jetzt nicht so ganz.

Mittlerweile beschränkt Apple Enterprise Accounts aber auch Unternehmen mit mindestens 100 Mitarbeitern. Und wenn Profile für Apps wie diese „Missbraucht“ werden sperrt Apple in der Regel den Developer Account und alle signierten Apps werden ungültig.
0
Motti
Motti26.06.22 21:50
Die Leute regen sich über Pegasus auf.. nutzen aber Google etc..
Sogar am TV nutzen sie google... also mal ehrlich. Irgendwie komisch

Ich habe nichts dagegen, wenn Staaten Pegasus nutzen. Da bleiben die Daten wenigstens dort, im Gegensatz zu privaten Firmen, wo sonst was damit getrieben wird.
-5
Weia
Weia26.06.22 22:08
Motti
Die Leute regen sich über Pegasus auf.. nutzen aber Google etc..
Wo ist da der Widerspruch? Freiwillig kann ich meine Daten teilen mit wem ich will; das kannst Du doch nicht damit vergleichen, dass meine Daten gegen meinen Willen durch einen Einbruch entwendet werden.
Ich habe nichts dagegen, wenn Staaten Pegasus nutzen. Da bleiben die Daten wenigstens dort
Aber genau das ist doch das Problem? Staaten können Gewalt ausüben.
im Gegensatz zu privaten Firmen, wo sonst was damit getrieben wird.
Sonstwas, aber eben keine Gewalt. Was sie sonst treiben, ist mir herzlich egal, sollen sie mir doch vermeintlich für mich interessante Werbung anzeigen …

Du hast Angst vor privaten Firmen, aber nicht vor Staaten? Das soll einer verstehen. Jamal Kashoggi hätte sicherlich lieber zielgerichtete Werbung über sich ergehen lassen, als zerstückelt zu werden.
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.