Fotos, Kontakte, Kalendereinträge – das Smartphone bündelt all diese und viele weitere Daten und macht es damit zu einer idealen Zielscheibe für Cyberkriminalität. Einige Unternehmen haben sich darauf spezialisiert, Trojaner zu entwickeln, um Inhalte auf den Geräten der Nutzer aufzuspüren. Nicht wenige Regierungen zeigen daran Interesse – Deutschland und viele weitere Staaten kauften etwa die mittlerweile recht bekannte Spyware Pegasus der NSO Group. Das Unternehmen blieb allerdings nicht untätig: Das Citizen Lab der Universität Toronto macht auf weitere Angriffe aufmerksam – und rät Betroffenen zu einem iOS-Feature, welches vielen noch unbekannt sein dürfte.


Exploits nutzten Einladungsfunktionen aus
Angriffe auf iPhones gleichen einem Katz-und-Maus-Spiel: Erlangt Apple von einer Sicherheitslücke Kenntnis, schließt der Konzern diese in der Regel einigermaßen zeitnah mit einem Update, während Angreifer an neuen Methoden tüfteln. Selbiges gilt für die NSO Group: Citizen Lab berichtet von drei im vergangenen Jahr gefundenen Zero-Click-Exploits, welche auf das israelische Unternehmen zurückzuführen seien. Die Spyware habe Einladungsfunktionen in diversen Apple-Diensten wie „Wo ist?“ ausgenutzt und auf diese Weise versucht, zunächst HomeKit und anschließend iMessage anzugreifen. Über einen Exploit namens „PWNYOURHOME“ konnte sich die Malware etwa unter iOS 15.5, 15.6 sowie 16.0.3 einnisten. Citizen Lab wies die Spyware unter anderem auf den iPhones zweier Aktivisten des mexikanischen Menschenrechtszentrums Prodh nach.

Blockierungsmodus zeigt Wirksamkeit
Ein Einfallstor für die Angriffe seien die Smart-Home-Features gewesen – sogar bei jenen Anwendern, welche Apples Home-App nie verwendet haben. Eine Infektion mit PWNYOURHOME sei ab iOS 16.1 nicht mehr aufgetreten, außerdem habe ein neues Tool seine Wirksamkeit unter Beweis gestellt: Der Blockierungsmodus („Lockdown Mode“), den Apple mit iOS 16 implementierte, warnte bei betroffenen Geräten vor dem Angriff. Citizen Lab konnte auf iPhones mit aktiviertem Blockierungsmodus keine Anzeichen auf eine Kompromittierung finden. Die Funktion geht allerdings mit einer ganzen Reihe an Einschränkungen einher, darunter etwa die Deaktivierung komplexer Webtechnologien und vieles mehr (siehe hier).