1 Punkte von GN⁺ 2024-04-12 | 1 Kommentare | Auf WhatsApp teilen
  • Die Bedrohung durch Söldner-Spyware, die auf Personen mit hohem Risiko abzielt, bestätigt sich erneut: Apple informiert iPhone-Nutzer in 92 Ländern über mögliche gezielte Angriffe
  • Die Benachrichtigung besagt, dass ein Versuch erkannt wurde, ein mit der Apple-ID verbundenes iPhone aus der Ferne zu kompromittieren; die Identität der Angreifer und die betroffenen Länder werden jedoch nicht offengelegt
  • Apple weist darauf hin, dass es bei der Erkennung keine absolute Gewissheit gibt, betont aber, dass diese Warnung eine hohe Vertrauenswürdigkeit hat und ernst genommen werden sollte
  • Seit 2021 hat Apple ähnliche Benachrichtigungen an Nutzer in mehr als 150 Ländern verschickt; im Oktober vergangenen Jahres erhielten auch indische Journalisten und Politiker Warnungen desselben Typs
  • Apple ersetzt die frühere Formulierung „state-sponsored“ durch „mercenary spyware attacks“ und grenzt Angriffe wie Pegasus als deutlich ausgefeilter und seltener ein als gewöhnliche Malware

Bedrohungswarnungen an iPhone-Nutzer in 92 Ländern verschickt

  • Apple verschickte am Mittwochmittag (Pazifikzeit) Bedrohungswarnungen an einzelne Nutzer in 92 Ländern
  • Die Benachrichtigung warnte davor, dass ein mit der Apple-ID verbundenes iPhone durch einen Angriff mit Söldner-Spyware aus der Ferne kompromittiert werden könnte
  • In der von TechCrunch bestätigten Benachrichtigung werden weder die Identität der Angreifer noch die Länder offengelegt, in denen Nutzer die Warnung erhalten haben
  • Die zentrale Botschaft an die Nutzer lautete wie folgt
    • Der Angriff könnte sie individuell ins Visier genommen haben, weil sie sind, wer sie sind, oder weil sie tun, was sie tun
    • Bei solchen Angriffen ist es schwierig, im Erkennungsprozess absolute Gewissheit zu garantieren
    • Apple hat hohes Vertrauen in diese Warnung, und Nutzer sollten sie ernst nehmen
  • Apple erklärte, dass keine detaillierteren Informationen zum Anlass der Benachrichtigung bereitgestellt werden können, da Angreifer sonst ihre Methoden ändern könnten, um künftiger Erkennung zu entgehen

Wiederholte Benachrichtigungen und geänderte Terminologie

  • Apple verschickt Benachrichtigungen dieser Art mehrmals pro Jahr und erklärt auf einer Support-Seite, seit 2021 Nutzer in mehr als 150 Ländern über ähnliche Bedrohungen informiert zu haben
  • Im Oktober vergangenen Jahres wurde dieselbe Warnung auch an mehrere Journalisten und Politiker in Indien verschickt
    • Später berichtete Amnesty International, auf den iPhones führender indischer Journalisten die invasive Spyware Pegasus des israelischen Spyware-Anbieters NSO Group gefunden zu haben
    • Personen mit Kenntnis der Angelegenheit zufolge gehören zu den Nutzern, die die jüngste Bedrohungswarnung erhalten haben, auch Nutzer in Indien
  • Die aktuelle Benachrichtigung traf zu einem Zeitpunkt ein, an dem mehrere Länder Wahlen vorbereiten
    • Zuletzt warnten mehrere Technologieunternehmen vor einer Zunahme staatlich unterstützter Aktivitäten, die bestimmte Wahlergebnisse beeinflussen sollen
    • Apples Benachrichtigung selbst erwähnt den Zeitpunkt des Versands nicht
  • Apple hatte Angreifer früher als „state-sponsored“ bezeichnet, ersetzt diese Formulierung inzwischen aber vollständig durch „mercenary spyware attacks
  • Angriffe mit Söldner-Spyware wie Pegasus gelten als deutlich ausgefeilter und außergewöhnlich seltener als gewöhnliche Cyberkriminalität oder Malware für Verbraucher
  • Apple erklärt, zur Erkennung solcher Angriffe ausschließlich interne Threat-Intelligence-Informationen und Untersuchungen zu verwenden
  • Weiterführendes Material: Tool zur Prüfung, ob NSOs Pegasus-Spyware auf ein Smartphone abgezielt hat

1 Kommentare

 
GN⁺ 2024-04-12
Meinungen auf Hacker News
  • Es gibt einen Reddit-Thread von jemandem, der eine solche Warnung erhalten hat: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
    Interessant ist, dass die Person behauptet, einfach ein ganz normaler Student zu sein. Wenn sie wirklich so etwas wie ein Geheimagent wäre, würde sie wohl nicht auf Reddit fragen, daher wirkt das sogar plausibel.
    Ich frage mich, ob Hacker ihre Ziele nach Kriterien wie Telefonnummern auswählen. Man kann sich vorstellen, dass der Student kürzlich eine neue Nummer bekommen hat und diese zuvor mit einem Ziel in Verbindung stand. Andererseits sollte es doch eine Möglichkeit geben, Nummern, die als Ziel bekannt sind, aus dem Verkehr zu ziehen.

    • Es scheint ein Missverständnis darüber zu geben, was für staatlich unterstützte Angreifer oder Söldner-Angreifer ein gültiges oder ideales Ziel ist. Schon wenn man in einem Forschungslabor, bei einem Industriehersteller, in einem Kraftwerk oder bei einem Tech-Unternehmen arbeitet oder einen bestimmten Professor kennt, kann man auf einer Zielliste landen.
    • Die Person kann einfach ein Student sein, aber trotzdem in irgendeiner Weise mit dem eigentlichen Ziel in Beziehung stehen. Wenn es Teil einer komplexen Operation ist, könnte man versuchen, indirekten Zugriff zu bekommen.
    • Alle denken nur an akademische Geheimnisse, aber man sollte auch prüfen, ob die Person in irgendeiner Form an Aktivismus beteiligt war.
      Wenn man Aktivisten kompromittieren und dadurch Vertrauen zerstören kann, ist das eine enorme Fähigkeit. Es würde mich überhaupt nicht überraschen, wenn auch die xz-Compression-Backdoor ein Versuch einer bestimmten Regierung gewesen wäre, die Fähigkeit zu erlangen, jeden, der gegen sie ist, zu stürzen oder zu diskreditieren.
    • Die Person wurde bereits im vergangenen Sommer ins Visier genommen. Sie ist vermutlich nicht so uninteressant, wie sie selbst glaubt oder behauptet.
    • Es könnte auch ein Familienmitglied oder Bekannter des Ziels sein. Ich habe hobbymäßig viel Open Source Intelligence (OSINT) gemacht, und bei der Suche nach Zielen geht man manchmal so vor, dass man über Personen knapp außerhalb des Zentrums trianguliert oder pivotiert.
  • Wenn man Metaverse, Söldner-Spyware, KI-gestützte Zielauswahl im Krieg und tödliche Drohnen sieht, frage ich mich ständig, wer Neuromancer gelesen und gedacht hat: „Was für eine rosige Zukunftsvision! Wie setzen wir diese großartige Vision der Zukunft um?“

    • Science-Fiction-Autor: Ich habe in meinem Buch den Torment Nexus als warnende Geschichte erfunden.
      Tech-Unternehmen: Wir haben endlich den Torment Nexus aus dem klassischen SF-Roman „Baut den Torment Nexus nicht“ gebaut.
      https://twitter.com/AlexBlechman/status/1457842724128833538
    • Die Leute, die Neuromancer gelesen und so gedacht haben, sind vermutlich dieselben, die auch 1984 gelesen und genauso gedacht haben.
      Oder vielleicht haben sie 1984 gar nicht gelesen und deshalb die Warnung nicht verstanden.
    • Menschen, die sagten: „Mach dir keine Sorgen, es richtig zu machen, mach es erst mal schnell, wir reparieren es später“, haben diese Zukunft geschaffen.
      Und am Ende wurde es nicht repariert. Wir scheinen immer weiter schneller und billiger voranzutreiben. Wenn man immer weiter Gewicht reduziert, muss man bald Arme und Beine abschneiden. Wenn ein früherer fähiger Bürokrat oder Manager das Fett bereits entfernt hat, bleibt für die nächste Person nicht mehr viel Fett zum Abschneiden. Außerdem ist ein gewisses Maß an Fett tatsächlich gut.
    • Keine Sorge. Realität und Zeit werden Wege finden, die Wirklichkeit schlimmer zu machen, als frühere Romanautoren es sich vorstellen konnten. Inzwischen wirkt sogar Brave New World naiv.
    • Es wird nie an Menschen mangeln, die eine Dystopie lesen und denken: „Das ist schrecklich. Ich sollte als gerechter und rechtschaffener Gottkönig die ganze Welt unterdrücken, damit sie gemäß Richtig und Falsch funktioniert, wie meine extrem enge Perspektive es versteht.“
      Auch hier gibt es sehr viele Menschen, die glauben, „Technik um der Technik willen“ sei etwas Gutes oder jede Technologie sei ihrem Wesen nach gesellschaftlicher Fortschritt und Fortschritt === gut.
  • Wenn ich eine Nachricht bekäme wie „Apple hat festgestellt, dass Sie Ziel eines Söldner-Spyware-Angriffs sind, der versucht, das mit Ihrer Apple-ID -xxx- verknüpfte iPhone aus der Ferne zu kompromittieren“, würde ich denken, dass sie Teil eines Phishing-Betrugs ist.
    Wie kann man wissen, ob so etwas echt ist? Wenn es anders aussieht als die üblichen Nachrichten, ist man erst recht geneigt, es für gefälscht zu halten.
    Später habe ich gesehen, dass man es laut den Kommentaren unten durch Login auf appleid.apple.com überprüfen kann. Das wäre glaubwürdig genug.

    • Laut Apples Website kann man die Echtheit einer Apple-Bedrohungsbenachrichtigung überprüfen, indem man sich bei appleid.apple.com anmeldet. Wenn Apple eine Bedrohungsbenachrichtigung gesendet hat, wird dies nach dem Login oben auf der Seite deutlich angezeigt.
      https://support.apple.com/en-lamr/102174
    • Wenn es keinen Link zum Anklicken gibt und man nicht gedrängt wird, sich irgendwo einzuloggen, klingt es einfach wie eine Information.
      Wenn eine Bank wegen Kreditkartenbetrugs Kontakt aufnimmt und es einen großen Button „Hier klicken und einloggen“ gibt, wäre ich sehr misstrauisch. Wenn es dagegen nur Informationen gibt und es etwa mit „Weitere Informationen erhalten Sie in Ihrer nächstgelegenen Filiale“ endet, ohne Links oder Telefonnummern, ist es weniger verdächtig.
    • Wenn ein Phishing-Betrug es geschafft hat, eine solche Nachricht auf andere Weise auf dem Smartphone anzuzeigen, ist das Smartphone wahrscheinlich bereits gehackt und nicht mehr vertrauenswürdig.
    • Am Ende steht, dass man durch Login bei iCloud die Gültigkeit überprüfen kann und dort ein Benachrichtigungsbanner angezeigt wird.
    • Ich habe gehört, dass es oben im iCloud-Webpanel im Browser als Badge oder Banner angezeigt wird. Es scheint auch oberhalb der empfangenen Nachricht aufzutauchen.
  • Ich verstehe nicht, warum Pegasus und NSO immer noch existieren dürfen. Ich weiß, dass es ein israelisches Unternehmen ist, aber hat die israelische Regierung trotzdem jemals etwas gegen sie unternommen? Das ist im Grunde Verhalten wie von einem Schurkenstaat.

    • PBS Frontline hat eine gute Dokumentation über die NSO Group. Sie haben staatliche Genehmigung und werden sogar als politischer Hebel genutzt: https://m.youtube.com/watch?v=6ZVj1_SE4Mo
    • Der Grund, warum Pegasus und NSO noch erlaubt sind, ist, dass die Akteure, die die Macht hätten, sie zu verbieten, genau ihre größten Kunden sind.
    • Es gibt viele solcher Firmen, nur sind sie nicht bekannt. Ich sehe nicht, dass diese Situation viel mit Israel zu tun hat.
    • Gehst du davon aus, dass die israelische Regierung nicht billigt, was sie tun?
  • Android-Nutzer sind womöglich deutlich stärker betroffen; Google macht es nur nicht öffentlich.
    Angesichts dessen denke ich ernsthaft darüber nach, zu Apple zu wechseln. Nicht weil Apple sicher wäre, sondern weil dort offenbar der Wille vorhanden ist, Nutzer in diesem Ausmaß zu informieren.

    • Ironischerweise könnte genau das sogar schlechter sein. iMessage ist bei über 60 % solcher Exploits wahrscheinlich ein zentraler Schritt, und auch mehrere Unicode-/PDF-Rendering-Engines sind Ursache vieler Angriffe.
      Der Open-Source-Charakter von Android erhöht die Wahrscheinlichkeit, dass solche Dinge zuerst von Sicherheitsforschern entdeckt werden. Man sollte auch nicht vergessen, dass Zerodium für Android-0-Days weiterhin mehr zahlt als für iOS-0-Days.
      Außerdem unterscheiden sich Geräte von Samsung, Google, Moto, Huawei usw. enorm, sodass ein einzelner Exploit mindestens dreimal schwerer erfolgreich umzusetzen ist.
    • Wenn man zwischen den Zeilen liest, könnte Apple nach einer Infektion auf allen Apple-Geräten eine Reproduzierbarkeit der eigentlichen Ursache haben, dies aber öffentlich nicht sagen.
      Das würde bedeuten: Wenn eine Infektion schließlich entdeckt wird, kann Apple den Einstiegspunkt der Schwachstelle isolieren und anschließend alle Geräte erneut scannen, um Geräte zu erkennen, die möglicherweise Ziel desselben Angriffs waren.
      Aus Sicht der Gesamtheit ergibt es Sinn, Daten zu hashen, die als Fingerabdruck dienen können. Im Extremfall könnte sogar etwas Einfaches wie der Call Stack nach dem Empfang einer iMessage ausreichen.
    • Für „Android-Nutzer sind womöglich deutlich stärker betroffen“ braucht es Belege.
    • Google macht so etwas schon seit langer Zeit. Ich habe um 2010 herum einmal eine solche E-Mail erhalten.
    • Ob Android-Nutzer im Allgemeinen deutlich stärker betroffen sind? Möglich. Aber aktuelle Google Pixel sind sicherheitstechnisch Apple ähnlich, manche halten sie sogar für sicherer. Wie andere schon gesagt haben, hat Google früher ebenfalls ähnliche Benachrichtigungen verschickt.
      Außerdem sehe ich Google nicht in der Verantwortung, auch Telefone anderer Hersteller wie Samsung oder Motorola zu überwachen und deren Nutzer zu benachrichtigen.
  • „Söldnerartige Spyware-Angriffe wie solche, die offenbar NSO Groups Pegasus verwenden, sind extrem selten und deutlich ausgefeilter als gewöhnliche Cyberkriminalität oder Schadsoftware für Verbraucher.“
    Dann könnte schon das Auslösen einer Apple-Warnung beim Ziel Teil einer ausgefeilten Operation sein.
    Solche Zielpersonen reagieren auf bestimmte Weise oder sind dazu gezwungen. Man bringt jemanden, der sich versteckt, dazu, sich zu zeigen, und veranlasst ihn zu reagieren, selbst wenn man nur sein Verhalten beobachtet.
    Was machen diese Zielpersonen als Nächstes? Wechseln sie das Telefon? Greifen sie auf bestimmte digitale Dienste zu? Warnen sie ihr Netzwerk über gewöhnliche Kommunikationswege? Aus Sicht eines Beobachters ist das ziemlich spannend.

    • Apple empfiehlt auf seiner Website, an wen man sich für Unterstützung wenden soll, und natürlich ist Apple nicht die einzige Stelle, die solche Ratschläge gibt.
      Apple: „Wenn Sie eine Apple-Bedrohungsbenachrichtigung erhalten haben, empfehlen wir Ihnen dringend, fachkundige Hilfe in Anspruch zu nehmen, etwa schnelle Notfall-Sicherheitsunterstützung durch die gemeinnützige Digital Security Helpline von Access Now. Empfänger von Apple-Bedrohungsbenachrichtigungen können die Digital Security Helpline über die Website rund um die Uhr, an 365 Tagen im Jahr, kontaktieren. Externe Organisationen haben keine Informationen darüber, warum Apple eine Bedrohungsbenachrichtigung verschickt hat, können Zielnutzern aber mit maßgeschneiderten Sicherheitsempfehlungen helfen.“
      https://support.apple.com/en-lamr/102174
      Amnesty International: „Auch die Access Now Helpline und andere zivilgesellschaftliche Partner des Security Lab sind bereit, Personen zu unterstützen, die eine Apple-Benachrichtigung erhalten haben.“
      https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
    • Ob man das Telefon wechseln sollte? Wenn ein Motorola für 130 Dollar bessere Sicherheit bieten kann, würde ich sagen: ja.
      Es ist erstaunlich, dass nach dem FBI-Durchbruch eines iPhones im Jahr 2018 noch jemand Geheimnisse auf einem iPhone speichert.
  • Wer wissen möchte, wie die tatsächliche Nachricht aussieht: Ein Reddit-Nutzer hat sie zusammen mit einer früheren Version von 2023 gepostet. Sie ist nicht vollständig enthalten: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...

    • Die Nachricht scheint dem Nutzer zu empfehlen, „auf die neueste Softwareversion, iOS 16.6, zu aktualisieren“. Ich frage mich, ob Nutzer von Geräten wie iPhone 7, 7 Plus oder SE, die nicht über iOS 15 hinaus aktualisiert werden können, eine andere Nachricht erhalten.
  • Ist diese Spyware durch Engineering-Fehler in Apple-Produkten möglich?

    • Technisch gesehen kann man das so sehen.
      Aber bedeutende Software ohne solche Fehler hat es bislang nie gegeben. Anders gesagt: Bei dieser Art von Angriff halte ich iOS vermutlich für besser als die meisten anderen Plattformen.
    • Zu NSO Group lohnt sich der Podcast Darknet Diaries. NSO Group zahlt Hackern mit brauchbaren Zero-Days für das iPhone wahrscheinlich über 100.000 Dollar.
      https://darknetdiaries.com/episode/100/
    • Fast alle Computerviren, Würmer usw. waren bisher durch Engineering-Fehler in Softwareprodukten möglich. Jede Software, die je auf der Welt entwickelt wurde, einschließlich der, die du gerade nutzt, enthält Bugs.
    • So sehe ich das auch. Jede Plattform hat Bugs und Zero-Days.
  • Eigentlich dürfte das praktisch alle Länder betreffen; interessant ist, dass Benachrichtigungen nur in 92 Länder gehen.

    • Könnte es nicht sein, dass es in manchen Ländern illegal ist, Nutzer auf diese Weise zu informieren? Ich könnte mir vorstellen, dass es in einigen Ländern illegal ist, Betroffene darüber zu informieren, dass sie Ziel einer Regierung geworden sind.
  • Es steht nicht dabei, welche 92 Länder das sind.

    • Ich fand es merkwürdig, dass diese Zahl in der Nachricht an Endnutzer überhaupt erwähnt wird. Im Vergleich zur Nachricht vom letzten Jahr wirkt es ein wenig so, als gehe sie in Richtung Kommentar.