Staatstrojaner Predator: Präsidentschaftskandidat mithilfe von iOS-Lücken bespitzelt
Apple brannte vor Kurzem ein wahres Update-Feuerwerk ab: Das Unternehmen aktualisierte die erst wenige Tage zuvor erschienenen Betriebssysteme iOS 17, iPadOS 17 und watchOS 10 und hievte sie auf damit die Versionen iOS/iPadOS 17.0.1 und watchOS 10.0.1. Zeitgleich erschienen Updates für iOS 16.7, macOS 12.7 beziehungsweise 13.6 und watchOS 9.6.3 sowie eine neue Vorabversion von macOS Sonoma (siehe
). Ungewöhnlich war dabei der sehr geringe zeitliche Abstand zum Erscheinen der finalen Ausgaben und die Tatsache, dass es für das iPhone 15 sogar am Tag der Auslieferung ein wichtiges Update gab, und zwar auf iOS 17.0.2 (siehe
).
Spyware auf dem iPhone eines PräsidentschaftsbewerbersDen
Sicherheitshinweisen auf Apples englischsprachigen Webseiten ließ sich entnehmen, dass es sich bei den kurzfristigen Aktualisierungen ganz offensichtlich um Notfall-Patches handelte. Für die von Apple an den Tag gelegte Eile gab es einen wichtigen Grund: Die drei mit den Updates geschlossenen Schwachstellen wurden bereits ausgenutzt und ermöglichten es Angreifern, Spyware auf dem iPhone eines ägyptischen Präsidentschaftsbewerbers zu installieren. Der Trojaner namens Predator, welcher vom Konsortium Intellexa angeboten wird, landete laut einer Analyse des Citizen Lab der Universität von Toronto und Googles Threat Analysis Group (TAG) durch präparierte Kurznachrichten auf dem Smartphone von Ahmed Eltantawy, so der Name des Politikers. Die Installation des Überwachungstools erforderte dabei kein aktives Zutun des Opfers, einem Bericht von
ArsTechnica zufolge genügte vielmehr der Aufruf einer entsprechend präparierten Webseite, der unverdächtig erscheinende Link war in den Messages enthalten.
Spezielle Hardware im MobilfunknetzFür den Angriff auf Eltantawy war laut Citzien Lab und TAG mit an Sicherheit grenzender Wahrscheinlichkeit eine ägyptische Regierungsbehörde verantwortlich. Die Sicherheitsexperten fanden nämlich heraus, dass es einen zweiten Angriffsvektor gab. Im Vodafone-Netz des Landes oder bei Telekom Egypt war eine spezielle Schnittstellen-Hardware installiert, die bestimmte vom Politiker aufgerufene URLs auf präparierte Webseiten umleitete. Diese lieferten dann Predator aus, der Staatstrojaner installierte sich in der Folge unbemerkt.
Sicherheitsforscher: iPhones umgehend aktualisierenDie technischen Details der Attacke veröffentlichte Citizen Lab in einem ausführlichen
Bericht. Daraus geht hervor, dass die von Apple vor wenigen Tagen geschlossenen Sicherheitslücken durch Intellexa gezielt für Angriffe mit Predator ausgenutzt wurden. Die Forscher raten allen iPhone-Besitzern daher, ihre Geräte umgehend zu aktualisieren. Besonders gefährdete Gruppen, etwa Journalisten, Regimekritiker und Menschenrechtsaktivisten, sollten zudem den Blockierungsmodus („Lockdown Mode“) von iOS nutzen, um sich zu schützen, auch wenn das mit Einschränkungen verbunden ist.