Apple hat eine Sicherheitslücke geschlossen, über die nach Erkenntnissen von Experten Nachrichten auf iPhones und anderen Geräten ausgespäht werden konnten. Forscher der Organisation Citizen Lab fanden die Schwachstelle nach eigenen Angaben bei der Analyse des Telefons eines saudi-arabischen Aktivisten. Das Gerät sei mit der Überwachungssoftware "Pegasus" der israelischen Firma NSO infiziert gewesen, schreibt Citizen Lab.
Am Montag reagierte Apple und veröffentlichte ein Software-Update für iPhones und iPads, das die Sicherheitslücke schließen soll. Damit der Schutz greift, müssen die Aktualisierungen von den Nutzern installiert werden. Die Schwachstelle wurde nach Einschätzung von Citizen Lab mindestens seit Februar 2021 ausgenutzt.
Angriff mit präparierter PDF-Datei
Bei der Sicherheitslücke handelt es sich um eine sogenannte Zero-Day-Lücke. So werden Schwachstellen genannt, die weder dem Anbieter der Software noch der Öffentlichkeit bekannt sind und deshalb heimlich genutzt werden können. Sie werden unter anderem auch von Geheimdiensten gezielt gesucht und für Spionage eingesetzt. Solche Schwachstellen gelten deshalb als besonders wertvoll und werden meist sehr gezielt gegen einzelne Zielpersonen verwendet.
Die Angreifer verschickten Apple zufolge ein präpariertes PDF-Dokument, das von der App iMessage automatisch verarbeitet wurde und dazu führte, dass die Spionagesoftware unbemerkt auf die Telefone geladen werden konnte. Nutzer mussten auf nichts klicken, um zum Opfer zu werden. Die Spionagefirma NSO ist berüchtigt dafür, den iPhone-Messenger mit derartigen Lücken seit Jahren zuverlässig knacken zu können. Wird eine Lücke von Apple geschlossen, liegt die nächste bereit.
Apple hat in diesem Fall sehr schnell reagiert. Citizen Lab zufolge erfuhr das Unternehmen erst am 7. September von der Sicherheitslücke. Weniger als eine Woche später steht nun ein Update bereit. Das sollten auch Nutzer schleunigst installieren, die keine Angst haben, von staatlichen Behörden ausgespäht zu werden. Denn ist eine Lücke einmal bekannt, können auch Cyberkriminelle versuchen, sie nachzubauen und für ihre Zwecke zu nutzen.
NSO-Software wird immer wieder missbraucht
Dass der Angreifer in diesem Fall tatsächlich die Firma NSO mit ihrer Software Pegasus war, darauf deuten Citizen Lab zufolge Dateinamen hin, die auch bei früheren Angriffen mit der Software benutzt worden waren. Zudem verwischte das gefundene Programm zwar seine Spuren auf dem iPhone, jedoch nur unvollständig: Ein Fehler, der so auch bei früheren Attacken mit Pegasus passiert war.
Die israelische Herstellerfirma NSO landet immer wieder wegen Missbrauchs ihrer Software in den Schlagzeilen. Im Juli hatte das Journalistenkonsortium Forbidden Stories, zu dem auch die SZ, NDR, WDR und Die Zeit gehören über zahlreiche Angriffe auf Politiker, Reporter und Aktivisten berichtet. NSO verschickt auch im aktuellen Fall wieder ihre Standardantwort: Pegasus werde "ausschließlich an Strafverfolgungsbehörden und Geheimdienste von geprüften Regierungen verkauft, mit dem alleinigen Ziel, durch Verhinderung von Verbrechen und Terrorakten Menschenleben zu retten".