Die Gruppe für digitale Rechte CitizenLab hat eine Schwachstelle entdeckt, die es dem israelischen Spionageunternehmen NSO Group ermöglichte, seine Pegasus-Malware auf praktisch allen iPhones, Macs und Apple Watch-Geräten zu installieren.
CitizenLab enthüllte die Schwachstelle am Montag, eine Woche nachdem sie sie durch die Analyse des Telefons eines saudischen Aktivisten, das mit der Malware infiziert worden war, entdeckt hatte. Die Entdeckung wurde der Öffentlichkeit bekannt gegeben, kurz nachdem Apple ein Update veröffentlicht hatte, um die Sicherheitslücke zu schließen.
Die Schwachstelle ermöglichte es den Kunden der NSO Group, als .gif-Dateien getarnte bösartige Dateien an das Telefon einer Zielperson zu senden, die dann „eine Integer-Überlaufschwachstelle in Apples Bildwiedergabebibliothek“ ausnutzten und das Telefon für die Installation der inzwischen berüchtigten Malware „Pegasus“ der NSO Group öffneten.
Es handelt sich dabei um eine so genannte „Zero-Click“-Schwachstelle, d. h. der Zielnutzer muss nicht auf einen verdächtigen Link oder eine Datei klicken, um die Malware auf sein Gerät zu bringen.
Den Forschern zufolge waren zwar die meisten Apple-Geräte anfällig, aber nicht alle, die von der Spyware betroffen waren, wurden auf diese Weise angegriffen. Stattdessen verkaufte die NSO Group ihre Malware an Kunden in aller Welt, die damit die Telefone von rivalisierenden Politikern, Journalisten, Aktivisten und Wirtschaftsführern ausspionierten.
Die Existenz der Malware wurde erstmals im Sommer von Amnesty International und Forbidden Stories, einem französischen investigativen Magazin, bekannt gemacht und von einer Reihe von Partner-Nachrichtenagenturen berichtet. Die Regierungen von Aserbaidschan, Bahrain, Kasachstan, Mexiko, Marokko, Ruanda, Saudi-Arabien, Ungarn, Indien und den Vereinigten Arabischen Emiraten (VAE) werden beschuldigt, die israelische Malware einzusetzen.
Eine durchgesickerte Liste deutet darauf hin, dass bis zu 52.000 Namen als mögliche Ziele für die Überwachung durch die Kunden der NSO Group markiert wurden, und etwa ein Zehntel dieser Ziele wurde Berichten zufolge überwacht. Pegasus gewährte den Benutzern Zugriff auf Anrufe, Nachrichten, Fotos und Dateien und ermöglichte es ihnen, heimlich die Kameras und Mikrofone der Zieltelefone einzuschalten.
CitizenLab hat die NSO Group mit dem neuesten Exploit in Verbindung gebracht, nachdem es ein so genanntes „digitales Artefakt“ entdeckt hatte, das mit den von anderen Exploits des Unternehmens hinterlassenen Visitenkarten und ähnlich benannten Prozessen in seinem Code übereinstimmte.
Die NSO Group hat sich nicht zu den jüngsten Recherchen von CitizenLab geäußert, die nur einen Tag vor der erwarteten Enthüllung des iPhone 13 durch Apple, das noch in diesem Monat auf den Markt kommen soll, erfolgen.