Zero-Day-Lücke in iMessage für NSO-Spyware Pegasus benutzt

Die Cybersicherheitsfirma Citizen Lab hat einen sogenannten Zero-Click-Exploit für iOS 14 entdeckt, der offenbar seit Februar benutzt wird, um über Apples Nachrichten-App iMessage die Pegasus-Spyware des israelischen Anbieters NSO Group einzuschleusen. Die von den Forschern aufgedeckte Kampagne richtet sich gegen politische Aktivisten in Bahrain – dahinter soll die Regierung des Landes stecken.

Der Zero-Click-Exploit erlaubt es, über eine bisher ungepatchte Sicherheitslücke in iMessage ohne Interaktion mit einem Nutzer eine Schadsoftware wie Pegasus auf einem iOS-Gerät zu installieren. Wie BleepingComputer berichtet, wird für einen erfolgreichen Angriff die neue Anfälligkeit mit dem bereits seit 2020 bekannten Zero-Click-Exploit namens Kismet kombiniert.

Dem neuen Exploit gaben die Forscher den Namen ForcedEntry. Er umgeht dem Bericht zufolge eine BlastDoor genannte Funktion von iOS, die eigentlich derartige Zero-Click-Exploits verhindern soll. Laut Citizien Lab wurde ForcedEntry erfolgreich gegen iOS 14.4 und 14.6 eingesetzt.

Die Forscher übermittelten nach eigenen Angaben mit Zustimmung der Opfer verschiedene Log-Dateien der gehackten iPhones an Apple. Der iPhone-Hersteller bestätigte ihnen gegenüber, dass er die Angriffe untersuche.

Derzeit bleibt möglichen Zielen einer Überwachung mit NSO-Spyware nur die Option, iMessage und Facetime zu deaktivieren. BleepingComputer weist darauf hin, die NSO Group in der Vergangenheit auch andere Apps wie WhatsApp benutzt hat, um Spyware unterzuschieben.

Die NSO Group vermarktet seine Pegasus-Spyware nach eigenen Angaben nur an “legitime Regierungen”, mit dem Zweck, “Verbrechen und Terrorismus” zu bekämpfen. Was den jetzt in Bahrain ausspionierten Personen, die unter anderem dem Bahrain Center for Human Rights angehören, vorgeworfen wird, ist nicht bekannt.