So funktioniert der iPhone-Hacking-Exploit der NSO Group

Dec 23 2021

Jahrelang hat der israelische Spyware-Anbieter NSO Group mit seinen Hacking-Produkten Angst und Faszination in den Herzen der internationalen Gemeinschaft geweckt – solche Produkte wurden an autoritäre Regierungen auf der ganzen Welt verkauft und gegen Journalisten, Aktivisten, Politiker und alle anderen eingesetzt sonst unglücklich genug, um ins Visier genommen zu werden. Das Unternehmen, das oft in Skandale verwickelt war, scheint häufig wie mit einer digitalen Beschwörung zu operieren – mit kommerziellen Exploit-Angriffen, die kein Phishing erfordern, und Malware, die alles sieht und in die privatesten digitalen Räume vordringen kann.

Jahrelang hat der israelische Spyware-Anbieter NSO Group mit seinen Hacking-Produkten Angst und Faszination in den Herzen der internationalen Gemeinschaft geweckt – solche Produkte wurden an autoritäre Regierungen auf der ganzen Welt verkauft und gegen Journalisten , Aktivisten, Politiker und alle anderen eingesetzt sonst unglücklich genug, um ins Visier genommen zu werden. Das Unternehmen, das oft in Skandale verwickelt war, scheint häufig wie mit einer digitalen Beschwörung zu operieren – mit kommerziellen Exploit-Angriffen, die kein Phishing erfordern, und Malware, die alles sieht und in die privatesten digitalen Räume vordringen kann.

Aber einige der dunklen Geheimnisse von NSO wurden letzte Woche sehr öffentlich gelüftet, als es Forschern gelang, technisch zu dekonstruieren, wie einer der berüchtigten „Zero-Click“-Angriffe des Unternehmens funktioniert. Tatsächlich haben Forscher von Googles Project Zero eine detaillierte Aufschlüsselung veröffentlicht , die zeigt, wie ein NSO-Exploit namens „FORCEDENTRY“ schnell und geräuschlos ein Telefon übernehmen kann.

Es wird angenommen, dass der Exploit, der auf Apple iPhones abzielen sollte, zum Hacken von Geräten in mehreren Ländern geführt hat – darunter die von mehreren Beamten des US-Außenministeriums, die in Uganda arbeiten. Erste Details dazu wurden von Citizen Lab erfasst , einer Forschungseinheit an der Universität von Toronto, die häufig Forschungsergebnisse zu den Aktivitäten von NSO veröffentlicht hat. Citizen Lab-Forschern gelang es, Telefone in die Finger zu bekommen, die den „Zero-Click“-Angriffen des Unternehmens ausgesetzt waren, und veröffentlichten im September erste Forschungsergebnisse über ihre Funktionsweise. Etwa zur gleichen Zeit kündigte Apple an, NSO zu verklagen , und veröffentlichte auch Sicherheitsupdates, um die Probleme zu beheben im Zusammenhang mit dem Exploit.

Citizen Lab teilte seine Ergebnisse schließlich mit den Google-Forschern, die letzte Woche endlich ihre Analyse der Angriffe veröffentlichten. Wie Sie vielleicht erwarten, ist es ziemlich unglaubliches – und beängstigendes – Zeug.

„Basierend auf unseren Recherchen und Erkenntnissen bewerten wir dies als einen der technisch ausgeklügeltsten Exploits, die wir je gesehen haben, was weiter zeigt, dass die Fähigkeiten, die NSO bietet, mit denen konkurrieren können, von denen zuvor angenommen wurde, dass sie nur einer Handvoll Nationalstaaten zugänglich sind“, schreiben Sie Forscher Ian Beer und Samuel Groß.

Das wahrscheinlich Erschreckendste an FORCEDENTRY ist, dass laut den Google-Forschern das Einzige, was zum Hacken einer Person erforderlich ist, ihre Telefonnummer oder ihr AppleID-Benutzername ist.

Mit einer dieser Kennungen könnte der Benutzer des NSO-Exploits ganz einfach jedes gewünschte Gerät kompromittieren. Der Angriffsprozess war einfach: Was wie ein GIF aussah, wurde per iMessage an das Telefon des Opfers gesendet. Das fragliche Bild war jedoch nicht wirklich ein GIF; Stattdessen handelte es sich um ein bösartiges PDF, das mit einer .gif-Erweiterung versehen wurde. In der Datei befand sich eine hochentwickelte bösartige Nutzlast, die eine Schwachstelle in der Bildverarbeitungssoftware von Apple kapern und damit schnell wertvolle Ressourcen auf dem Zielgerät übernehmen konnte. Der Empfänger musste nicht einmal auf das Bild klicken, um seine schädlichen Funktionen zu aktivieren.

Technisch gesehen hat FORCEDENTRY eine Zero-Day-Schwachstelle in Apples Bildwiedergabebibliothek CoreGraphics ausgenutzt – der Software, die iOS verwendet, um Bilder und Medien auf dem Gerät zu verarbeiten. Diese Sicherheitsanfälligkeit, die offiziell als CVE-2021-30860 verfolgt wird, ist mit einem alten Stück kostenlosen Open-Source-Codes verbunden, den iOS anscheinend nutzte, um PDF-Dateien zu codieren und zu decodieren – die Xpdf- Implementierung von JBIG2.

Hier wird der Angriff jedoch wirklich wild. Durch Ausnutzen der Sicherheitslücke bei der Bildverarbeitung konnte FORCEDENTRY in das Zielgerät eindringen und den eigenen Speicher des Telefons verwenden, um eine rudimentäre virtuelle Maschine zu erstellen , im Grunde einen „Computer innerhalb eines Computers“. Von dort aus konnte die Maschine die Pegasus-Malware von NSO von innen „bootstrapping“ und schließlich Daten an denjenigen weiterleiten, der den Exploit eingesetzt hatte.

In einem E-Mail-Austausch mit Gizmodo erklärten Beer und Groß ein wenig, wie das alles funktioniert. Der Angriff „liefert eine JBIG2-komprimierte Datei, die Tausende von grundlegenden mathematischen Operationen durchführt, die ursprünglich zum Dekomprimieren von Daten gedacht waren“, sagten die Forscher. „Durch diese Operationen löst es zunächst eine ‚Memory Corruption‘-Schwachstelle in JBIG2 aus und modifiziert damit den Speicher in einer Weise, die dann den Zugriff auf nicht zusammenhängende Speicherinhalte in nachfolgenden Operationen erlaubt.“

Von dort aus baut das Programm „im Wesentlichen einen kleinen Computer auf diesen grundlegenden mathematischen Operationen auf, mit dem es Code ausführt, der nun auf andere Speicher des angegriffenen iPhones zugreifen kann“, erklärten die Forscher weiter. Nachdem der Mini-Computer im Zieltelefon betriebsbereit ist und läuft, verwendet NSO ihn, um „ihren eigenen Code (anstelle des von Apple) auszuführen und diesen zu verwenden, um die Malware vom Inneren des eigentlichen Geräts aus zu booten“, fügten sie hinzu.

Um es kurz zu machen, der NSO-Exploit ist in der Lage, das Telefon eines Opfers von innen nach außen zu befehligen und die eigenen Ressourcen des Geräts zu nutzen, um seine Überwachungsoperationen einzurichten und auszuführen.

Die Schwachstelle im Zusammenhang mit diesem Exploit wurde in Apples iOS 14.8-Update (veröffentlicht im September) behoben, obwohl einige Computerforscher davor gewarnt haben , dass ein Patch möglicherweise nicht allzu viel ausrichtet, um Eindringlinge fernzuhalten, wenn das Telefon einer Person vor dem Update von Pegasus kompromittiert wurde aus.

Die Malware von NSO und ihre mysteriösen Hacking-Methoden sind seit Jahren Gegenstand von Angst und Spekulationen, daher ist es erstaunlich, dass Google endlich den Vorhang darüber aufzieht, wie genau dieses Stück schwarzer Computermagie tatsächlich funktioniert.

Doch während das Innenleben dieses furchterregenden Werkzeugs endlich enthüllt wurde, kämpfen die Hersteller des Werkzeugs derzeit ums Überleben. Tatsächlich hat NSO ein verdammt hartes Jahr hinter sich – das Unternehmen drängt sich von einem katastrophalen Skandal zum nächsten. Laufende journalistische Untersuchungen zu offensichtlichen Fehlverhalten seiner Kundenbasis wurden mit mehreren Klagen von einigen der weltweit größten Unternehmen, Regierungsanfragen, starken Sanktionen aus den USA und der Flucht vor Investoren und finanzieller Unterstützung gepaart.

Korrektur: Eine frühere Version dieser Geschichte besagte, dass Apple seinen Patch im Oktober veröffentlicht hat. Die Sicherheitsupdates wurden im September herausgegeben.