iVerify entdeckt Hinweise auf Zero-Click-Angriff auf iPhones

Das US-amerikanische Cybersicherheitsunternehmen iVerify hat nach eigenen Angaben erstmals belastbare Hinweise auf eine sogenannte Zero-Click-Ausspähkampagne gegen iPhone-Nutzer in den Vereinigten Staaten und Europa entdeckt. Die Angriffe sollen ohne Interaktion der betroffenen Nutzer erfolgt sein und Sicherheitslücken in iOS-Versionen bis einschließlich 17.1.1 ausgenutzt haben.

Ein Zero-Click-Angriff ist eine Cyberattacke, bei der ein Gerät ohne jegliches Zutun oder Interaktion des Nutzers – also ohne Klick oder Öffnen eines Links – infiziert oder kompromittiert wird.

Wie iVerify in einem aktuellen Blogbeitrag mitteilt, seien mindestens sechs iPhones kompromittiert worden. Die betroffenen Geräte gehörten Personen aus dem Umfeld einer US-Politkampagne, einem Unternehmen im Bereich Künstliche Intelligenz sowie aus Regierungskreisen und Medienorganisationen in den USA und Europa. Der Angriff habe über eine Schwachstelle in der sogenannten Nickname-Benachrichtigungsfunktion des Apple-Betriebssystems funktioniert. Dabei sei es möglich gewesen, über iMessage Nachrichten zu verschicken, die ohne Öffnung durch den Nutzer zur Ausführung von Schadcode führten.

Die „Nickname“-Funktion beim iPhone ist Teil von Apple iMessage und erlaubt es Nutzern, in Gruppenchats einen Spitznamen (Nickname) anstelle ihres realen Namens anzuzeigen. Diese Funktion dient hauptsächlich dazu, Personen in Chats besser zuordnen zu können, insbesondere wenn Kontakte nicht im Adressbuch gespeichert sind oder mehrere Teilnehmer denselben Namen tragen.

Im Fall des von iVerify entdeckten Angriffs wurde eine Sicherheitslücke in dieser Funktion ausgenutzt: iOS verarbeitet Nickname-bezogene Daten automatisch im Hintergrund – eine Schwachstelle, die Angreifer für sogenannte Zero-Click-Angriffe missbrauchen konnten. Dabei reichte es aus, eine manipulierte Nachricht über iMessage zu senden, um Schadcode auszuführen – ganz ohne Zutun des Nutzers.

Ähnlichkeiten zu früheren staatlichen Spionagekampagnen

Die entdeckten Angriffe weisen laut iVerify Ähnlichkeiten mit früheren staatlich unterstützten Spionagekampagnen auf. Es gebe Anhaltspunkte, dass die aktuelle Kampagne im geopolitischen Kontext zu sehen sei. Eine direkte Zuordnung zu einem bestimmten Akteur sei derzeit jedoch noch nicht möglich. Apple erklärte auf Nachfrage, dass die fragliche Schwachstelle inzwischen geschlossen worden sei. Der Konzern habe derzeit jedoch keine Hinweise darauf, dass die Sicherheitslücke aktiv ausgenutzt wurde.

Unsere Erkenntnisse deuten darauf hin, dass es keine Rolle spielt, über welchen Kanal kommuniziert wird, wenn das Gerät selbst kompromittiert ist; Angreifer haben Zugriff auf sämtliche Unterhaltungen – unabhängig davon, ob sie über Signal, Gmail oder eine andere sichere Anwendung geführt werden. — iVerify

iVerify hat die Vorfälle an mehrere Technologieunternehmen, Regierungen in der EU sowie an US-Behörden weitergeleitet. Die Sicherheitsforscher empfehlen allen Nutzerinnen und Nutzern von iPhones, ihre Geräte auf die aktuelle iOS-Version zu aktualisieren und den sogenannten „Lockdown-Modus“ zu aktivieren. Diese Schutzfunktion, die Apple seit iOS 16 bereitstellt, soll besonders gefährdete Personen wie Journalistinnen, Aktivisten und politische Entscheidungsträger vor gezielten Angriffen schützen.

Die Entdeckung gilt als einer der ersten dokumentierten Fälle von Zero-Click-Spionage auf Mobilgeräte in westlichen Demokratien und unterstreicht die wachsende Bedrohung durch staatlich unterstützte Cyberangriffe auf kritische gesellschaftliche Akteure.