Zero-Click: Fehler in WhatsApp und iOS 18 ermöglichten Datendiebstahl
Am 20. August veröffentlichte Apple iOS 18.6.2 wie auch iPadOS 18.6.2 – und der Konzern gab bekannt, eine Lücke im ImageIO-Framework geschlossen zu habe. Diese ermöglichte es, dass ein über ein speziell präpariertes Bild in letzter Konsequenz Schad-Code auf dem Zielgerät ausgeführt werden konnte – jedoch nur unter sehr speziellen Bedingungen.
WhatsApp Teil der KetteMeta gab nun
bekannt, dass die mit iOS 18.6.2 und iPadOS 18.6.2 behobenen Fehler wohl Teil einer Spyware-Kampagne waren, welche mit Hilfe eines weiteren Fehlers in WhatsApp dazu verwendet werden konnten, um persönliche Daten von den angegriffenen Geräten auszulesen. Verwundbar sind WhatsApp für iOS vor Version v2.25.21.73, WhatsApp Business für iOS vor Version v2.25.21.78 und WhatsApp für Mac v2.25.21.78 oder früher – aber nur auf iOS 18.6.1 oder früher.
Weniger als 200 Personen betroffenLücken dieser Art und dieser Komplexität werden oftmals nicht dafür verwendet, von "Normalbürgern" Daten abzugreifen, sondern spezialisierte Unternehmen führen digitale Angriffe als Auftrag gegen ausgesuchte Ziele aus – oftmals sind Journalisten, politische Gegner, Mitarbeiter des Militärs oder Schlüsselpersonen in Unternehmen mit wichtigen Betriebsgeheimnissen Ziele derartig ausgefeilter Angriffe. Entdecken Hacker derartige Schwachstellen, sind diese auf Spionage ausgerichteten Firmen Millionenbeträge wert.
Margarita Franklin, Unternehmenssprecherin von Meta, gab bekannt, dass man weniger als 200 Personen benachrichtigt hat, von welchen man vermutet, Ziel dieses Angriffs geworden zu sein. Die Lücke soll etwa 90 Tage lang unentdeckt geblieben sein. Sollte man eine derartige Benachrichtigung erhalten haben, sei es ratsam, das betroffene Gerät auf Werkseinstellungen zurückzusetzen.
Zero-Click ohne NutzerinteraktionDas perfide an Lücken dieser Art ist, dass der Nutzer sich in den allermeisten Fällen gar nicht bewusst ist und es hätte auch nicht verhindern können, Ziel eines solchen Angriffs zu sein. Malware erfordert oftmals Nutzerinteraktionen – wie zum Beispiel das Herunterladen und Starten einer bestimmten Software. Doch Zero-Click-Angriffsvektoren können Geräte kompromittieren, ohne dass der Nutzer aktiv eingreift – und verschleiern ihre Existenz oftmals sehr gut, so dass weder der Nutzer noch der Gerätehersteller feststellen kann, dass etwas nicht mit rechten Dingen zugeht.