Das Google-Sicherheitsteam Project Zero hat eine bislang beispiellose Malware-Kampagne gegen iPhone-Nutzer aufgedeckt. Über mehrere Jahre soll eine Gruppe bisher ungenannter Täter verschiedene Websites gehackt und mit Schadcode infiltriert haben.

Über äußerst komplexe Exploit-Chains, die Bugs in Safari, im Kernel sowie mehrere Sandbox-Escapes ausnutzten, kam so ein Implant auf die betroffenen Geräte, das nahezu vollständig freie Hand hatte, wie das Project-Zero-Forscher Ian Beer berichtet.

Beispielloser Angriff auf Tausende

Solche Drive-by-Angriffe, bei denen der Besuch infizierter Websites ausreicht, um sich Schadcode einzufangen, sind im iOS-Segment bislang quasi unbekannt. Da Exploits für iOS auf dem Sicherheitsmarkt extrem teuer (weil vergleichsweise selten) sind, kommen vor allem gezielte Angriffe vor – etwa auf Aktivisten in Unterdrückerstaaten oder besonders "wertvolle" Personen wie Politiker oder Manager.

Hier wurde in der Vergangenheit der Begriff des "1-Million-Dollar-Dissidenten" geprägt. Beer meinte, hier handele es sich eher um ein Projekt, um den "n+1'th potential future dissident" zu überwachen. Ob die Exploits 1 Million, 2 Millionen oder 20 Millionen Dollar gekostet hätten, wolle er nicht diskutieren.

Zeitlinie: Die Angriffe erfolgten laut der Sicherheitsexperten mindestens seit iOS 10. (Bild: Google Project Zero)

Die ausgenutzten Lücken sollen über mehrere Jahre in iOS vorhanden gewesen sein – auch bei der Entdeckung durch das Google Project Zero waren einige noch nutzbar, also als Zerodays ungepatcht. Betroffen waren iOS 10, 11 sowie 12. Apple habe auf Googles Angaben mit dem Out-of-Band-Update iOS 12.1.4 am 7. Februar reagiert – dabei wurde dem Konzern eine Patch-Deadline von nur sieben Tagen gelassen. iOS 10 kam bereits im September 2016 auf den Markt. Insgesamt fünf verschiedene Exploit-Chains konnten die Google-Sicherheitsforscher identifizieren – die Angreifergruppe passte sie offenbar immer wieder an.

Was das Implant machen konnte

War das Implant einmal auf dem iPhone, griff es unter anderem Nachrichtendatenbanken verschlüsselter Chats wie WhatsApp sowie Apples iMessages ab und übertrug sie auf einen externen Server. Weiterhin gab es Funktionen zur Übertragung der Kontaktdatenbank, aller enthaltener Fotos sowie wichtiger Tokens wie denen von Google. Inhalte von Telegram, Skype, Google, Outlook, Facebook und diversen weiteren potenziell interessanten Apps konnten abgesaugt werden. Auch Sprachnachrichten und SMS lagen offen, genauso wie die Keychain mit den Passwörtern und WLAN-Zugängen (Schlüsselbund). Weiterhin konnte Beer ein GPS-Tracking durch das Implant nachvollziehen, als er in Amsterdam auf Reisen war.

Immerhin: Dem Sicherheitsforscher zufolge blieb das Implant über Reboots des iPhone hinweg nicht erhalten; um es erneut auf das Gerät zu spielen, müsse eine infizierte Website ein zweites Mal besucht werden. Aufgrund der Breite der Informationen, die exfiltriert werden konnten, darunter auch Token aus dem iPhone-Schlüsselbund, sei jedoch mit einem "persistenten Zugriff" auf Inhalte der Nutzer zu rechnen. Hinzu kommt, dass iPhone-Nutzer ihr Gerät üblicherweise vergleichsweise selten neu starten.

Welchem konkreten Zweck der Angriff diente, wurde bislang noch nicht bekannt. Beer betonte aber, dass es "keinerlei Diskriminierung der Ziele" gegeben habe – es reichte stets aus, bestimmte Websites zu besuchen. Sein Team schätze, dass diese "Tausende Besucher pro Woche" gehabt hätten. Beer sagte weiter, es handele sich offenbar um eine Gruppe, die sich fortgesetzt darum bemüht habe, "die iPhones bestimmter Gemeinschaften" über einen Zeitraum von mindestens zwei Jahren zu hacken. (bsc)