Operation Triangulation: Wie ein Trojaner simple Security-Fehler bei Apple zeigt

Wenn weltweit bekannte Sicherheitsforscher über die Ausnutzung von Sicherheitslücken rätseln und sich öffentlich Fragen stellen, auf die sie selbst keine Antwort haben, nur um kurz darauf eine schlüssige und vertrauenswürdige Erklärung von einem einzelnen Hacker zu bekommen, kann das nichts Gutes bedeuten. Und wenn die Auflösung dann im Grunde nur ist, dass dies alles seit Jahren alles bekannt ist, ist das eine Security-Katastrophe mit Ansage, die nicht nur bei Apple kritisch aufgearbeitet werden sollte.

Dass es überhaupt so weit gekommen ist, liegt wahrscheinlich an staatlichen Hackern, die es am Ende wohl schlicht übertrieben haben. Bereits im Juni vergangenen Jahres berichteten Forscher der in Moskau ansässigen IT-Sicherheitsfirma Kaspersky von einem neuen Trojaner für iOS und iPhones, der ohne jegliche Nutzerinteraktion auskommen soll und auf Geräten des Unternehmens selbst gefunden worden sei.

Auf dem Chaos Communication Congress 37C3 in Hamburg haben die Forscher nun zahlreiche technische Details zu den Sicherheitslücken und dem genutzten Exploit veröffentlicht. Demnach ist die extrem ausgeklügelte Kette vieler Sicherheitslücken über mehrere Jahre genutzt worden und letztlich nur bekanntgeworden, weil auch Telefone der Kaspersky-Forscher infiziert worden sind. Wohl auch deshalb heißt der Vortrag: "Was Sie bekommen, wenn Sie iPhones von Forschern angreifen". Die Angriffsserie selbst nennt Kaspersky Operation Triangulation.

Extrem komplizierte Exploit-Chain

Auffallend daran ist einerseits der extrem komplexe Aufbau des Exploits bis hin zum eigentlichen Trojaner. Dabei werden gleich sechs zuvor nicht bekannte Sicherheitslücken in Apple-Software verwendet und es werden laut den Kaspersky-Forschern 14 verschiedene Phasen in der Angriffskette durchlaufen, bis das iPhone übernommen worden ist. Die technischen Details sind dabei teils so kompliziert, dass uns auch Sicherheitsforscher auf dem 37C3 im Gespräch berichteten, dass sie es noch nicht komplett verstanden hätten.

Der an der Untersuchung beteiligte Kaspersky-Forscher Boris Larin sagte dem Magazin Arstechnica dazu: "Die Komplexität des Exploits und die Obskurität der Funktionen lassen darauf schließen, dass die Angreifer über fortgeschrittene technische Fähigkeiten verfügten."

Rätselraten zu Hardwarefunktion in Apple Silicon

Andererseits fällt an dem Exploit aber auf, dass eben nicht nur das Kaspersky-Team selbst, sondern auch weitere Sicherheitsforscher viele offene Fragen zu der dafür genutzten Technik haben. Entscheidend sind hier von Apple nicht öffentlich dokumentierte Hardwarefunktionen und Register, die letztlich zur Umgehung bestehender Sicherheitsmechanismen genutzt werden.

Der Darstellung zufolge werden die Hardwareteile durch die Geräte-Firmware jedoch nicht verwendet. Die Forscher vermuten, dass es sich dabei um Schnittstellen zum Debuggen oder Testen handelt, die in verkauften Geräten aus bisher unbekannten Gründen aktiviert geblieben sind.

Schon das Forscherteam selbst sagt, dass das Vorhandensein der Debug-Register kein Zufall sein könne, denn die Hardwarefunktionen finden sich nicht nur auf iPhones, sondern auch in den M1- und M2-Chipserien des sogenannten Apple Silicon in aktuellen ARM-basierten Macs.

Aufklärung dazu bietet der Entwickler Hector Martin, der unter anderen das Asahi-Linux-Projekt begründet hat, das Linux per Reverse Engineering auf Apple-Silicon-Macs portiert. Martin schreibt zu den auf dem Vortrag vorgestellten Erkenntnissen und Fragen: "Ich wette, ich habe ein paar Antworten."