Apple hat einen Patch veröffentlicht, um eine mysteriöse Spyware zu stoppen, die iPhones in Russland und beim Antiviren-Anbieter Kaspersky infiziert.
Am Mittwoch veröffentlichte Cupertino die Patches für iOS(Öffnet in einem neuen Fenster), Mac OS(Öffnet in einem neuen Fenster) iPadOS und watchOS, drei Wochen nachdem Kaspersky bekannt gab, dass es die sogenannte „Triangulation“-Spyware auf mehreren Dutzend iPhones von Firmenmitarbeitern entdeckt hatte.
Die Spyware löst Alarm aus, da sie ein iPhone durch bösartige Nachrichten, die über iMessage gesendet werden, infizieren kann. Es ist keine Benutzerinteraktion erforderlich.
Auch die Patchnotizen von Apple deuten darauf hin, dass die Spyware besonders mächtig ist. Durch die Ausnutzung einer bisher unbekannten Schwachstelle in der Software des Unternehmens, sagt Cupertino, „kann eine App in der Lage sein, beliebigen Code mit Kernel-Berechtigungen auszuführen“, was es ihr ermöglicht, den Kernteil des Betriebssystems zu manipulieren.
Die Spyware nutzte auch a zweite(Öffnet in einem neuen Fenster) Bisher unbekannter Fehler im älteren iOS 15, dieser betrifft WebKit, die Browser-Engine für Safari. Als Reaktion darauf hat Apple herausgegeben Patches(Öffnet in einem neuen Fenster) für iPhone-Modelle seit dem 6s.
Am selben Tag veröffentlichte Kaspersky auch weitere Einzelheiten(Öffnet in einem neuen Fenster) über seine Untersuchung der Triangulation-Spyware, die sich erheblich von anderer Spyware unterscheidet, die mit kommerziellen Überwachungsunternehmen wie der israelischen NSO Group in Verbindung steht.
Kasperskys Bericht bestätigte auch, dass Triangulation den iOS-Kernel ausnutzen kann, um Root-Rechte zu erlangen. Anschließend wird ein Spyware-Implantat eingesetzt, das nur im RAM-Speicher des Geräts funktioniert, „was bedeutet, dass alle Spuren des Implantats verloren gehen, wenn das Gerät neu gestartet wird.“
Daher muss der Betreiber der Spyware das Telefon erneut infizieren, um bei einem Neustart auf dem Gerät präsent zu bleiben. Das bedeutet aber auch, dass es für Sicherheitsforscher schwierig sein kann, die Spyware aufzudecken. „Falls kein Neustart erfolgt, deinstalliert sich das Implantat nach 30 Tagen selbst, es sei denn, dieser Zeitraum wird von den Angreifern verlängert“, fügte Kaspersky hinzu.
Das Unternehmen gab an, dass es „ungefähr ein halbes Jahr“ gedauert habe, bis genügend Beweise für die weitgehende Funktionsweise der Spyware gesammelt worden seien. Kaspersky stellte fest, dass das Spyware-Implantat Befehle von einem primären und dann einem Fallback-Befehls- und Kontrollserver empfangen kann. Das Implantat wurde außerdem mit mindestens 24 Befehlen entwickelt, einschließlich der Fähigkeit, Dateien vom Gerät zu stehlen, den Standort des Benutzers zu überwachen und zu stehlen Passwörter zu entschlüsseln und andere Schadprogramme auszuführen.
Von unseren Redakteuren empfohlen
Darüber hinaus deckte das Unternehmen technische Details auf, die darauf hindeuten, dass Triangulation auch zur Bekämpfung von macOS-Geräten eingesetzt werden könnte. In Kasperskys Bericht wird jedoch nicht erwähnt, wer die Spyware erstellt haben könnte, obwohl die Untersuchung noch andauert.
Dennoch hat dies die russische Regierung nicht davon abgehalten behaupten(Öffnet in einem neuen Fenster) Die Spyware kommt aus den USA. Der Kreml ist sogar so weit gegangen, Apple vorzuwerfen, mit US-Geheimdiensten bei der Entwicklung der Triangulation zusammenzuarbeiten. „Es wurde festgestellt, dass mehrere tausend Geräte dieser Marke infiziert wurden“, gab der russische Föderale Sicherheitsdienst (FSB) Anfang des Monats bekannt, als Kaspersky die Öffentlichkeit erstmals auf die Triangulation-Spyware aufmerksam machte.
Allerdings hat Apple jede Beteiligung bestritten, heißt es Reuters(Öffnet in einem neuen Fenster) dass das Unternehmen „nie mit einer Regierung zusammengearbeitet hat, um eine Hintertür in ein Apple-Produkt einzubauen, und dies auch nie tun wird“.
In der Zwischenzeit können Benutzer aktualisieren(Öffnet in einem neuen Fenster) ihre iPhones, indem Sie zu gehen Einstellungen > Allgemein > Software-Update. Das Gerät kann auch automatisch aktualisiert werden, wenn Sie automatische Updates aktiviert haben.
Gefällt Ihnen, was Sie gerade lesen?
Melden Sie sich an für SecurityWatch Newsletter mit unseren Top-Geschichten zum Thema Datenschutz und Sicherheit direkt in Ihren Posteingang.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, erklären Sie sich damit einverstanden Nutzungsbedingungen Und Datenschutz-Bestimmungen. Sie können den Newsletter jederzeit abbestellen.