iOS, iPadOS, watchOS & macOS: Schwachstellen für Staatstrojaner missbraucht

Update Marc Stöckel
144 Kommentare
iOS, iPadOS, watchOS & macOS: Schwachstellen für Staatstrojaner missbraucht
Bild: Apple

Kaum hat Apple seine mobilen Betriebssysteme iOS, iPadOS und watchOS einem großen Update unterzogen, folgen sogleich ein paar kritische Sicherheitspatches. Auch macOS-Nutzer sollten schleunigst aktualisieren, denn die insgesamt drei behobenen Schwachstellen werden angeblich bereits aktiv ausgenutzt.

Bei der ersten und als CVE-2023-41991 registrierten Sicherheitslücke handelt es sich laut Apple um einen Fehler, der es Angreifern ermöglicht, mit einer Schadsoftware die Signaturvalidierung des Unternehmens zu umgehen. CVE-2023-41992 sei hingegen eine Kernel-Schwachstelle, mit der böswillige Akteure auf einem Zielsystem ihre Rechte ausweiten können. Die dritte Lücke (CVE-2023-41993) beziehe sich auf ein Problem in der WebKit-Browser-Engine, das bei der Verarbeitung von Webinhalten die Ausführung von Schadcode ermögliche.

Alle drei Zero-Day-Schwachstellen sollen von Bill Marczak vom Citizen Lab an der Munk School der University of Toronto (Kanada) sowie Maddie Stone von der Threat Analysis Group von Google entdeckt und an Apple gemeldet worden sein. Geräte mit iOS und iPadOS sind jeweils von allen drei Lücken betroffen, die übrigen Systeme nur von einer oder zwei der genannten Sicherheitslücken. Wie Apple erklärt, habe der Konzern die Schwachstellen durch verbesserte Kontrollen sowie durch die Beseitigung eines Problems mit der Zertifikatsvalidierung beseitigt.

Patches sollten sofort installiert werden

Außerdem weist der Konzern darauf hin, dass alle drei Sicherheitslücken möglicherweise bereits aktiv auf iPhones mit einer iOS-Version vor 16.7 ausgenutzt wurden. Details dazu nennt das Unternehmen zwar nicht, jedoch sei ihm ein Bericht bekannt, aus dem ein solcher Missbrauch hervorgehe. Anwender sollten ihre Systeme daher dringend auf die folgenden Versionen (oder neuer) aktualisieren:

  • iOS 17.0.1/16.7
  • iPadOS 17.0.1/16.7
  • watchOS 10.0.1/9.6.3
  • macOS Ventura 13.6
  • macOS Monterey 12.7

Die Liste potenziell betroffener Apple-Geräte sieht demnach wie folgt aus:

  • iPhone 8 und neuer
  • Apple Watch Series 4 und neuer
  • iPad Pro (alle Modelle)
  • iPad Air (3. Generation und neuer)
  • iPad (5. Generation und neuer)
  • iPad mini (5. Generation und neuer)
  • Macs mit macOS-Versionen vor 13.6 oder 12.7

Apple-Schwachstellen ließen zuletzt Staatstrojaner passieren

Welche Folgen ungepatchte Sicherheitslücken haben können, zeigt ein vor rund zwei Wochen veröffentlichter Bericht von Citizen Lab. Damals schloss Apple ebenfalls zwei kritische Zero-Day-Schwachstellen in iOS, iPadOS, macOS und watchOS. Diese seien zuvor aktiv ausgenutzt worden, um die von der israelischen NSO Group entwickelte kommerzielle Spionagesoftware Pegasus anhand einer Zero-Click-Exploit-Kette namens Blastpass ohne jegliche Nutzerinteraktion auf iPhones zu installieren. Die Sicherheitsforscher erklärten damals, dass der von Apple im vergangenen Jahr eingeführte Lockdown Mode die Angriffe wahrscheinlich hätte verhindern können.

Update

Inzwischen haben die Threat Analysis Group (TAG) von Google sowie das Citizen Lab der University of Toronto weitere Informationen zur Ausnutzung der Schwachstellen geteilt. Demnach habe das Spyware-Konsortium Intellexa auf Basis der gepatchten Sicherheitslücken eine Zero-Day-Exploit-Kette für iPhones entwickelt, um die von einigen Ländern als Staatstrojaner eingesetzte Spionagesoftware Predator auf Zielgeräten einzuschleusen.

Konkret schildern die Forscher des Citizen Lab die Infiltration eines iPhones des ehemaligen ägyptischen Abgeordneten Ahmed Eltantawy zwischen Mai und September 2023. Da Ägypten selbst ein bekannter Predator-Kunde sei und die Spyware über eine Netzwerkinjektion von einem Gerät innerhalb Ägyptens übertragen worden sei, vermuten die Forscher, dass der Angriff von der ägyptischen Regierung selbst ausging. Zuvor habe Eltantawy öffentlich erklärt, dass er bei den ägyptischen Wahlen 2024 für das Präsidentenamt kandidieren möchte.

Maddie Stone von der Google TAG erklärte diesbezüglich, die Exploit-Kette von Intellexa sei über einen Man-in-the-Middle-Angriff (MITM) verbreitet worden. So habe die Zielperson zunächst eigenständig via HTTP eine unverschlüsselte Webseite besucht, woraufhin der Angreifer den Datenverkehr abgefangen und manipuliert habe. Nach einem Mechanismus zur Identifikation des anvisierten Nutzers sei dieser auf eine böswillige Webseite umgeleitet worden, die schließlich unter Ausnutzung der drei iOS-Schwachstellen die Infektionskette in Gang gesetzt und damit die Predator-Spyware installiert habe.

Du hast rund um den Black Friday einen tollen Technik-Deal gefunden? Teile ihn mit der Community!