NSO Pegasus: Apples Lockdown-Modus verhindert erstmals Zero-Day-Exploit

Das unter anderem für seine Untersuchung von Staatstrojanern bekannte Citizen Lab der Universität Toronto schreibt in einer aktuellen Analyse, dass der erst im vergangenen Jahr eingeführte Lockdown-Modus für Apples iPhone einen Exploit verhindert hat. Dieser optionale Schutz wurde mit iOS 16 eingeführt und soll das Ausnutzen von Sicherheitslücken nicht nur erschweren, sondern auch erkennen. Der Lockdown-Modus blockiert etwa beim Empfang von Nachrichten die meisten Anhänge – mit Ausnahme von Bildern und der Linkvorschau. Zudem werden "komplexe Webtechnologien" deaktiviert. Als Beispiel nennt Apple Just-in-Time-Javascript-Kompilierung (JIT).

Der Schutz soll sich explizit gegen Trojaner der NSO Group sowie ähnlicher Firmen richten, die ihre Schadsoftware an staatliche Stellen verkaufen. In der Vergangenheit geriet insbesondere der Staatstrojaner Pegasus der NSO Group in die Schlagzeilen, der im großen Stil gegen Menschenrechtsaktivisten, Journalisten und Regierungsbeamte eingesetzt wurde.

Von solch einem Fall aus Mexiko berichtet auch das Citizen Lab in der aktuellen Untersuchung. Einen der dabei gefundenen Angriffe nennen die Forscher Pwnyourhome. Hierbei handele es sich um einen sogenannten Zero-Klick-Angriff, der eine interaktionslose Infektion ermöglicht. Im konkreten Fall sei dieser zweistufig aufgebaut gewesen und habe versucht, zunächst Homekit und danach iMessage anzugreifen.

Die Forscher schreiben dazu: "Für einen kurzen Zeitraum erhielten Opfer, die den Lockdown-Modus von iOS 16 aktiviert hatten, Echtzeitwarnungen, wenn versucht wurde, Pwnyourhome auf ihren Geräten auszunutzen. Obwohl die NSO Group später möglicherweise eine Umgehung für diese Echtzeitwarnung entwickelt hat, haben wir keine erfolgreiche Ausnutzung von Pwnyourhome auf Geräten gesehen, auf denen der Lockdown-Modus aktiviert ist."