Der Firma NSO Group gehen offensichtlich die Schwachstellen nicht aus, mit denen sich iPhones hacken lassen: Allein im vergangenen Jahr kamen mindestens drei neue Exploit-Chains zum Einsatz, um die notorische Spyware Pegasus auf Geräten mit iOS 15 sowie iOS 16 einzuschleusen, wie das zur Universität Toronto gehörende Citizen Lab in einer neuen Analyse darlegt. Es habe sich dabei um Zero-Click-Exploits gehandelt, Nutzer mussten also nicht etwa erst zum Antippen eines manipulierten Links gebracht werden. Spuren der Spyware waren laut Citizen Lab unter anderem auf iPhones von zwei mexikanischen Menschenrechtsanwälten zu finden. Offenbar nutzte die Spyware dafür standardmäßig aktive Einladungsfunktionen in Apple-Diensten, darunter „Wo ist?“ sowie Apple Home respektive einen Prozess, der zu Apples Smart-Home-Protokoll HomeKit gehört – beides in einem zweistufigen Prozess im Zusammenspiel mit iMessage. Apples Messaging-Dienst war schon in der Vergangenheit das Einfallstor für die Überwachungs-Software, ebenso wie auch andere Messenger wie WhatsApp. Über eine Kombination von vermutlich nur der NSO Group bekannten Sicherheitslücken in iOS konnte sich die Spyware demnach erfolgreich auf iPhones mit iOS 15.5, iOS 15.6 und schließlich auch iOS 16.0.3 einschleusen. Der „PWNYOURHOME“ genannte Exploit hat der Analyse zufolge zuerst eine Schwachstelle in dem zu Apple Home gehörenden Systemprozess homed
genutzt und dann mit Hilfe eines heruntergeladenen iMessage-Bildanhangs einen Absturz im iMessage-Prozess „MessagesBlastDoorService“ ausgelöst, um so den Schadcode auszuführen. Das habe auch funktioniert, wenn der Nutzer Apples Smart-Home-Funktionen gar nicht verwendet und Apple Home nie eingerichtet hat, schreibt Citizen Lab. Die Forscher gaben ihre Erkenntnisse auch an Apple weiter, der Hersteller habe sein Betriebssystem in dieser Hinsicht dann mit Änderungen an HomeKit in Version iOS 16.3.1 besser abgesichert. War Apples mit iOS 16 neu eingeführter Lockdown-Modus („Blockierungsmodus“) aktiv, erhielt der Nutzer einen Hinweis auf den Angriff – und man habe keine Hinweise auf eine erfolgreiche Kompromittierung des Gerätes gefunden. Der Modus schaltet verschiedene Dienste ab, darunter auch die offenbar ausgenutzten Einladungsfunktionen und Freigabefunktionen. Außerdem konnte Citizen Lab keine erfolgreiche Infektion mit PWNYOURHOME ab iOS 16.1 mehr beobachten. Aktuell ist iOS 16.4.1, Nutzer sollten darauf achten, ihre Geräte stets auf den neuesten Softwarestand zu bringen. Ein Apple-Sprecher erklärte gegenüber der Washington Post lediglich, die Angriffe würden nur „eine sehr kleine Zahl“ der Kunden betreffen und Apple werde weitere Sicherheitsfunktionen einbauen. Citizen Lab rät Nutzern, die potenzielle Opfer von staatlichen Spyware-Angriffen sind, den Blockierungsmodus zu aktivieren. Das mache die iPhone-Nutzung zwar unbequemer, erhöhe aber auch die Kosten für Angreifer.