Weitere iPhone-Spyware entdeckt: Schnüffelei mit Staatstrojaner „Reign“ nachgewiesen
Smartphones und die darauf zu findenden Daten sind nicht nur für Kriminelle ein verlockendes Ziel. Zahlreiche staatliche Stellen, insbesondere von autoritären Regimen, interessieren sich ebenfalls für solche Inhalte und nutzen entsprechende Schnüffelsoftware. Traurige Berühmtheit erlangte in diesem Zusammenhang vor geraumer Zeit das Spyware-Tool „Pegasus“ des israelischen Unternehmens NSO Group. Der Trojaner wurde genutzt, um zahlreiche Journalisten, Regierungskritiker oder Anwälte auszuspionieren. Einem internationalen Recherche-Netzwerk zufolge fielen möglicherweise 50.000 iPhone-Besitzer den Angriffen zum Opfer (siehe
).
Sicherheitsforscher weisen Einsatz von „Reign“ nachRegierungen können allerdings auch auf die Schnüffelsoftware einer anderen Firma zurückgreifen, welche der Öffentlichkeit bislang nicht bekannt war. Entdeckt wurde der Trojaner jetzt von Citizen Lab, einem Forscherteam der Universität von Toronto. Die kanadischen Sicherheitsexperten wiesen den vom israelischen Unternehmen QuaDream angebotenen Schädling namens „Reign“ in Binaries nach, die ihnen Microsoft Threat Intelligence zur Verfügung gestellt hatte. Citizen Lab fand dabei
nach eigenen Angaben Hinweise darauf, dass die Spyware gegen mindestens fünf Personen zum Einsatz kam, unter anderem in Europa, Nordamerika und Südostasien. Die Analyse ergab zudem, dass QuaDream Server etwa in Bulgarien, der Tschechischen Republik, Ungarn, Singapur und den Vereinigten Arabischen Emiraten betreibt. Das lässt den Forschen zufolge Rückschlüsse auf mögliche Kunden des Unternehmens zu.
Aufzeichnung von Gesprächen und Zugriff auf Daten„Reign“ ist – ebenso wie Pegasus – in der Lage, auf befallenen iPhones eine Reihe von Daten abzugreifen und Spionageaktionen durchzuführen. Die Software kann unter anderem Telefongespräche aufzeichnen, insgeheim Fotos aufnehmen und den Schlüsselbund durchforsten. Darüber hinaus lässt „Reign“ sich zur Standortüberwachung und Erstellung von Bewegungsprofilen einsetzen, das Spyware-Tool untersucht zudem alle auf dem iPhone gespeicherten Inhalte und Datenbanken. Es verfügt außerdem über einen Selbstzerstörungsmechanismus, ausgerechnet dieser ermöglichte es allerdings den Sicherheitsforschern, einen Angriff auf ein spezielles Gerät nachzuweisen.
Spyware nutzte Schwachstelle in iOS 14 ausQuaDream nutzte laut Citizen Lab eine Schwachstelle in iOS 14, die unter dem Namen „Endofdays“ bekannt ist. Diese ermöglichte es „Reign“, sich mithilfe unsichtbarer Kalendereinladungen auf einem iPhone einzunisten, und zwar ohne jegliches Zutun des Nutzers. Diese Methode wurde den Sicherheitsforschern zufolge bis November 2021 eingesetzt. Apple schloss die Lücke mit einem Update, in neueren Versionen von iOS ist sie nicht mehr enthalten. Es lässt sich allerdings nicht ausschließen, dass QuaDream mittlerweile andere Wege gefunden hat, den Schädling auf Smartphones aus Cupertino zu schleusen. Für „normale“ Nutzer ist die Gefahr, mithilfe von „Reign“ ausspioniert zu werden, allerdings gering, da sie wegen des hohen Aufwands für die staatlichen Angreifer in aller Regel nicht zum Ziel derartiger Attacken werden. Angehörige gefährdeter Gruppen können zum eigenen Schutz den Blockierungsmodus („Lockdown Mode“) aktivieren, welcher in iOS 16 zu Verfügung steht (siehe
).