Komponente für GIFs manipuliert

Wie NSO und Co. ihre Spähsoftware auf fremde iPhones schmuggeln

Uhr
von René Jaun und slk

Google-Sicherheitsexperten zeigen, wie Firmen wie die NSO Group vorgehen, um Spähsoftware auf den handys ihrer Opfer zu platzieren. Dabei nutzen sie gezielt Schwachstellen aus, darunter eine in der Komponente, die eigentlich bloss Bilddateien verarbeiten sollte.

(Source: Geralt / Pixabay)
(Source: Geralt / Pixabay)

Die auf Cyber-Attacken spezialisierte NSO Group hat mit ihrer Software Pegasus für Schlagzeilen gesorgt. Das Spionageprogramm liest etwa Nachrichten mit und verfolgt Anrufe. Seit die Software auf dem Smartphones von Journalisten, Politikern und Menschenrechtsaktivisten entdeckt wurde, muss sich das israelische Unternehmen unangenehme Fragen zur Wahl ihrer Klienten gefallen lassen.

Aber wie gelingt es dem Unternehmen, sein Spähprogramm auf die iPhones ihrer Opfer zu bringen, ohne dass diese etwas davon merken? Diese Frage beantworteten unlängst Ian Beer und Samuel Gross von Google Project Zero (GPZ).

Sie untersuchten eine Sicherheitslücke im iPhone-Betriebssystem iOS, Versionen 14.7.1 und darunter. NSO Group habe diese Sicherheitslücke für ihre Machenschaften verwendet, schreibt "ZDNet".

Der Teufel im GIF-Handler

Die Angriffsmethode sei "unglaublich und beängstigend", werden die GPZ-Experten zitiert. Die ausgenutzte Schwachstelle sitzt dabei in der Komponente des Betriebssystems, die GIF-Dateien (also Bilder) verarbeitet – noch genauer: In jenem Teil der Komponente, die komprimierte Bilder dekomprimiert. Eigentlich sollte diese Komponente keine Programme ausführen. Doch aufgrund der Sicherheitslücke tue sie ebendies: Den Angreifern sei es möglich gewesen, einen Javascript-ähnlichen Code im GIF-Handler ausführen zu lassen, dann auf die Speicherbereiche anderer Applikationen zuzugreifen und so das Smartphone aus der Ferne zu hacken.

Besonders Perfide: NSO Group konnte den Angriff ohne jegliches Zutun des Opfers durchführen. Es habe gereicht, die Telefonnummer oder die Apple-ID der zu überwachenden Person zu kennen, erklären die Sicherheitsexperten. Die manipulierte GIF-Datei stellten die Hacker dann über Apples Messagingdienst iMessage zu.

Im Nachgang zu den Enthüllungen um Pegasus hat die israelische Regierung den Export von Software wie Pegasus eingeschränkt. Laut einem Bericht von "TechDirt" soll die NSO Group inzwischen in finanziellen Nöten stecken und über die Beendigung ihres Überwachungsangebotes nachdenken.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_241701