Hacker-Angriffe sind meist sehr primitiv, auch wenn oft mit einem simplen Skript Millionenschäden angerichtet werden. Anders bei den Profi-Hackern der israelischen NSO Group, die für Angriffe auf die iPhones von Journalisten und Politikern berühmt wurden. Bei ihnen handelte es sich offensichtlich um echte Könner, die einen immensen Aufwand betreiben, wie eine gerade veröffentlichte Analyse von Googles Sicherheitsprojekt Project Zero beschrieb.

So funktionierte der Hack des iPhones

Besonderes Aufsehen erregte die Überwachungssoftware Pegasus, weil die Installation ohne jede Handlung des Nutzers möglich war. Er musste auf keinen dubiosen Link klicken, allein der Empfang einer Nachricht auf dem iPhone genügte. Möglich war dies größtenteils durch eine Sicherheitslücke von iMessage. Bei einem der Angriffe nutzte das Team etwa den Umgang mit GIF-Dateien. Die Hacker verschickten ein PDF mit der Endung „gif“, was automatisch die Prüfung durch das System auslöst. Für diese Prüfung nutzt iMessage die Systembibliothek ImageIO, die einen ungewöhnlichen Angriffspunkt aufwies. Bei der Verarbeitung von PDFs mit dem uralten Bildformat JBIG2 nutzt das System nämlich Code des Open Sourch-Projektes Xpdf. Auf eine dieser Schwachstellen, einen sogenannten Integer Overflow zielten die Hacker.

Bis zu diesem Punkt ein eher üblicher Angriff. In diesem Moment wurde der Angriff aber etwas, das als „ziemlich unglaublich und gleichzeitig ziemlich erschreckend beschreiben wurde“: Wie die Google-Forscher berichten, gelang es bei dieser Attacke unter Ausnutzung einer speziellen Komprimierungsart von JBIG2 Schaltungen mit beliebigen Logikgattern zu emulieren, die auf beliebigen Speicher arbeiten. „Using over 70,000 segment commands defining logical bit operations, they define a small computer architecture with features such as registers and a full 64-bit adder and comparator". Es gelang also, eine Art virtueller Computer zu erstellen.

Virtueller Rechner nur aus Schad-Code

Statt ein Skript auszuführen, wie bei anderen Angriffen üblich, wurde gleich ein eigenständiger virtueller Rechner in Software erstellt, der Speicher durchsuchen und arithmetische Operationen ausführen kann. Das geschah nicht zum Selbstzweck, die Fähigkeiten wurden dann in einem zweiten Schritt genutzt, um Apples wichtigste Sicherheitsfunktion auszuhebeln, die sogenannte Sandbox. Wie dies gelang, wollen Googles Forscher aber erst in einem späteren Blog-Beitrag erläutern. Die vollständige Erklärung ist hier nachzulesen.

Interessant: Apple hat mit 14.8.1 zuerst nur die Zahl der unterstützten Formate verringert, dann mit iOS 15.0 die komplette Verarbeitung von GIF-Dateien verändert. Diese werden nun nicht mehr mit ImageIO, sondern per BlastDoor verarbeitet.

Die Firma NSO Group soll übrigens laut Bloomberg verkauft und umstrukturiert werden. Dabei könnte die Entwicklung von Pegasus eingestellt werden, angeblich will sich NSO auf Cyberabwehr und Drohnentechnologie konzentrieren. Wir befürchten allerdings, sie wird einfach unter neuen Namen und neuen Eignern weiter aktiv sein. (Macwelt)