Predator-Spyware: Staatstrojaner wurde über iOS-Schwachstellen eingeschleust
Nachdem Apple erst kürzlich drei kritische Zero-Day-Schwachstellen in mehreren Betriebssystemen des Konzerns behoben hat, haben die Threat Analysis Group (TAG) von Google sowie das Citizen Lab der University of Toronto weitere Informationen darüber geteilt, inwieweit die Sicherheitslücken bereits aktiv ausgenutzt wurden.
Demnach entwickelte das unter dem Namen Intellexa bekannte Konsortium von Spionagesoftware-Anbietern auf Basis der drei Schwachstellen eine Zero-Day-Exploit-Kette für iPhones, um die von einigen Ländern als Staatstrojaner eingesetzte Spyware Predator auf Zielgeräten einzuschleusen. Die Forscher des Citizen Lab nannten(öffnet im neuen Fenster) diesbezüglich einen Trojaner-Angriff auf den ehemaligen ägyptischen Abgeordneten Ahmed Eltantawy, der zwischen Mai und September 2023 stattgefunden habe.
Die Infiltration seines iPhones sei erfolgt, nachdem Eltantawy öffentlich erklärt hatte, dass er bei den ägyptischen Wahlen 2024 für das Präsidentenamt kandidieren wolle. Die Forscher schreiben den Angriff mit hoher Wahrscheinlichkeit der ägyptischen Regierung zu – Ägypten sei schließlich ein bekannter Kunde der Predator-Spyware. Obendrein sei die Spionagesoftware über eine Netzwerkinjektion von einem Gerät innerhalb Ägyptens übertragen worden.
MITM-Angriff über unverschlüsselte HTTP-Verbindung
Laut Maddie Stone von Google wurde die Exploit-Kette über einen Man-in-the-Middle-Angriff (MITM) verbreitet, für den keinerlei Klick auf einen Link oder das Öffnen einer Datei erforderlich war. Stattdessen habe die Zielperson zunächst via HTTP eine unverschlüsselte Webseite besucht, erklärte die Expertin. Der Datenverkehr konnte nach ihren Angaben daraufhin abgefangen und manipuliert werden, um Eltantawy zu identifizieren und anschließend gezielt auf eine bösartige Webseite umzuleiten.
CVE-2023-41993 ermöglichte dort die Ausführung von Schadcode im Safari-Browser. Anschließend konnten die Angreifer mit der Schwachstelle CVE-2023-41991 die Signaturvalidierung des Systems umgehen und mit CVE-2023-41992 eine lokale Rechteausweitung erzielen. "Die Kette führte dann eine kleine Binärdatei aus, um zu entscheiden, ob das vollständige Predator-Implantat installiert werden sollte oder nicht" , erklärte Stone in ihrem Bericht(öffnet im neuen Fenster) .
Eine detaillierte technische Analyse soll in Übereinstimmung mit den Google-Richtlinien zur Offenlegung von Sicherheitslücken zu einem späteren Zeitpunkt veröffentlicht werden. Außerdem warnte Stone davor, dass die Angreifer zusätzlich über eine Exploit-Kette für Android-Geräte verfügten, die auf der am 5. September gepatchten Chrome-Schwachstelle CVE-2023-4762(öffnet im neuen Fenster) basiere. "Wir gehen davon aus, dass Intellexa diese Schwachstelle zuvor ebenfalls als Zero Day ausgenutzt hat" , erklärte die Google-Forscherin.
- Anzeige Hier geht es zum iPhone 17 bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.