Apple warnt Nutzer in 92 Ländern vor Angriffen mit Söldner-Spyware
(techcrunch.com)- Die Bedrohung durch Söldner-Spyware, die auf Personen mit hohem Risiko abzielt, bestätigt sich erneut: Apple informiert iPhone-Nutzer in 92 Ländern über mögliche gezielte Angriffe
- Die Benachrichtigung besagt, dass ein Versuch erkannt wurde, ein mit der Apple-ID verbundenes iPhone aus der Ferne zu kompromittieren; die Identität der Angreifer und die betroffenen Länder werden jedoch nicht offengelegt
- Apple weist darauf hin, dass es bei der Erkennung keine absolute Gewissheit gibt, betont aber, dass diese Warnung eine hohe Vertrauenswürdigkeit hat und ernst genommen werden sollte
- Seit 2021 hat Apple ähnliche Benachrichtigungen an Nutzer in mehr als 150 Ländern verschickt; im Oktober vergangenen Jahres erhielten auch indische Journalisten und Politiker Warnungen desselben Typs
- Apple ersetzt die frühere Formulierung „state-sponsored“ durch „mercenary spyware attacks“ und grenzt Angriffe wie Pegasus als deutlich ausgefeilter und seltener ein als gewöhnliche Malware
Bedrohungswarnungen an iPhone-Nutzer in 92 Ländern verschickt
- Apple verschickte am Mittwochmittag (Pazifikzeit) Bedrohungswarnungen an einzelne Nutzer in 92 Ländern
- Die Benachrichtigung warnte davor, dass ein mit der Apple-ID verbundenes iPhone durch einen Angriff mit Söldner-Spyware aus der Ferne kompromittiert werden könnte
- In der von TechCrunch bestätigten Benachrichtigung werden weder die Identität der Angreifer noch die Länder offengelegt, in denen Nutzer die Warnung erhalten haben
- Die zentrale Botschaft an die Nutzer lautete wie folgt
- Der Angriff könnte sie individuell ins Visier genommen haben, weil sie sind, wer sie sind, oder weil sie tun, was sie tun
- Bei solchen Angriffen ist es schwierig, im Erkennungsprozess absolute Gewissheit zu garantieren
- Apple hat hohes Vertrauen in diese Warnung, und Nutzer sollten sie ernst nehmen
- Apple erklärte, dass keine detaillierteren Informationen zum Anlass der Benachrichtigung bereitgestellt werden können, da Angreifer sonst ihre Methoden ändern könnten, um künftiger Erkennung zu entgehen
Wiederholte Benachrichtigungen und geänderte Terminologie
- Apple verschickt Benachrichtigungen dieser Art mehrmals pro Jahr und erklärt auf einer Support-Seite, seit 2021 Nutzer in mehr als 150 Ländern über ähnliche Bedrohungen informiert zu haben
- Im Oktober vergangenen Jahres wurde dieselbe Warnung auch an mehrere Journalisten und Politiker in Indien verschickt
- Später berichtete Amnesty International, auf den iPhones führender indischer Journalisten die invasive Spyware Pegasus des israelischen Spyware-Anbieters NSO Group gefunden zu haben
- Personen mit Kenntnis der Angelegenheit zufolge gehören zu den Nutzern, die die jüngste Bedrohungswarnung erhalten haben, auch Nutzer in Indien
- Die aktuelle Benachrichtigung traf zu einem Zeitpunkt ein, an dem mehrere Länder Wahlen vorbereiten
- Zuletzt warnten mehrere Technologieunternehmen vor einer Zunahme staatlich unterstützter Aktivitäten, die bestimmte Wahlergebnisse beeinflussen sollen
- Apples Benachrichtigung selbst erwähnt den Zeitpunkt des Versands nicht
- Apple hatte Angreifer früher als „state-sponsored“ bezeichnet, ersetzt diese Formulierung inzwischen aber vollständig durch „mercenary spyware attacks“
- Angriffe mit Söldner-Spyware wie Pegasus gelten als deutlich ausgefeilter und außergewöhnlich seltener als gewöhnliche Cyberkriminalität oder Malware für Verbraucher
- Apple erklärt, zur Erkennung solcher Angriffe ausschließlich interne Threat-Intelligence-Informationen und Untersuchungen zu verwenden
- Weiterführendes Material: Tool zur Prüfung, ob NSOs Pegasus-Spyware auf ein Smartphone abgezielt hat
1 Kommentare
Meinungen auf Hacker News
Es gibt einen Reddit-Thread von jemandem, der eine solche Warnung erhalten hat: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
Interessant ist, dass die Person behauptet, einfach ein ganz normaler Student zu sein. Wenn sie wirklich so etwas wie ein Geheimagent wäre, würde sie wohl nicht auf Reddit fragen, daher wirkt das sogar plausibel.
Ich frage mich, ob Hacker ihre Ziele nach Kriterien wie Telefonnummern auswählen. Man kann sich vorstellen, dass der Student kürzlich eine neue Nummer bekommen hat und diese zuvor mit einem Ziel in Verbindung stand. Andererseits sollte es doch eine Möglichkeit geben, Nummern, die als Ziel bekannt sind, aus dem Verkehr zu ziehen.
Wenn man Aktivisten kompromittieren und dadurch Vertrauen zerstören kann, ist das eine enorme Fähigkeit. Es würde mich überhaupt nicht überraschen, wenn auch die xz-Compression-Backdoor ein Versuch einer bestimmten Regierung gewesen wäre, die Fähigkeit zu erlangen, jeden, der gegen sie ist, zu stürzen oder zu diskreditieren.
Wenn man Metaverse, Söldner-Spyware, KI-gestützte Zielauswahl im Krieg und tödliche Drohnen sieht, frage ich mich ständig, wer Neuromancer gelesen und gedacht hat: „Was für eine rosige Zukunftsvision! Wie setzen wir diese großartige Vision der Zukunft um?“
Tech-Unternehmen: Wir haben endlich den Torment Nexus aus dem klassischen SF-Roman „Baut den Torment Nexus nicht“ gebaut.
https://twitter.com/AlexBlechman/status/1457842724128833538
Oder vielleicht haben sie 1984 gar nicht gelesen und deshalb die Warnung nicht verstanden.
Und am Ende wurde es nicht repariert. Wir scheinen immer weiter schneller und billiger voranzutreiben. Wenn man immer weiter Gewicht reduziert, muss man bald Arme und Beine abschneiden. Wenn ein früherer fähiger Bürokrat oder Manager das Fett bereits entfernt hat, bleibt für die nächste Person nicht mehr viel Fett zum Abschneiden. Außerdem ist ein gewisses Maß an Fett tatsächlich gut.
Auch hier gibt es sehr viele Menschen, die glauben, „Technik um der Technik willen“ sei etwas Gutes oder jede Technologie sei ihrem Wesen nach gesellschaftlicher Fortschritt und Fortschritt === gut.
Wenn ich eine Nachricht bekäme wie „Apple hat festgestellt, dass Sie Ziel eines Söldner-Spyware-Angriffs sind, der versucht, das mit Ihrer Apple-ID -xxx- verknüpfte iPhone aus der Ferne zu kompromittieren“, würde ich denken, dass sie Teil eines Phishing-Betrugs ist.
Wie kann man wissen, ob so etwas echt ist? Wenn es anders aussieht als die üblichen Nachrichten, ist man erst recht geneigt, es für gefälscht zu halten.
Später habe ich gesehen, dass man es laut den Kommentaren unten durch Login auf appleid.apple.com überprüfen kann. Das wäre glaubwürdig genug.
https://support.apple.com/en-lamr/102174
Wenn eine Bank wegen Kreditkartenbetrugs Kontakt aufnimmt und es einen großen Button „Hier klicken und einloggen“ gibt, wäre ich sehr misstrauisch. Wenn es dagegen nur Informationen gibt und es etwa mit „Weitere Informationen erhalten Sie in Ihrer nächstgelegenen Filiale“ endet, ohne Links oder Telefonnummern, ist es weniger verdächtig.
Ich verstehe nicht, warum Pegasus und NSO immer noch existieren dürfen. Ich weiß, dass es ein israelisches Unternehmen ist, aber hat die israelische Regierung trotzdem jemals etwas gegen sie unternommen? Das ist im Grunde Verhalten wie von einem Schurkenstaat.
Android-Nutzer sind womöglich deutlich stärker betroffen; Google macht es nur nicht öffentlich.
Angesichts dessen denke ich ernsthaft darüber nach, zu Apple zu wechseln. Nicht weil Apple sicher wäre, sondern weil dort offenbar der Wille vorhanden ist, Nutzer in diesem Ausmaß zu informieren.
Der Open-Source-Charakter von Android erhöht die Wahrscheinlichkeit, dass solche Dinge zuerst von Sicherheitsforschern entdeckt werden. Man sollte auch nicht vergessen, dass Zerodium für Android-0-Days weiterhin mehr zahlt als für iOS-0-Days.
Außerdem unterscheiden sich Geräte von Samsung, Google, Moto, Huawei usw. enorm, sodass ein einzelner Exploit mindestens dreimal schwerer erfolgreich umzusetzen ist.
Das würde bedeuten: Wenn eine Infektion schließlich entdeckt wird, kann Apple den Einstiegspunkt der Schwachstelle isolieren und anschließend alle Geräte erneut scannen, um Geräte zu erkennen, die möglicherweise Ziel desselben Angriffs waren.
Aus Sicht der Gesamtheit ergibt es Sinn, Daten zu hashen, die als Fingerabdruck dienen können. Im Extremfall könnte sogar etwas Einfaches wie der Call Stack nach dem Empfang einer iMessage ausreichen.
Außerdem sehe ich Google nicht in der Verantwortung, auch Telefone anderer Hersteller wie Samsung oder Motorola zu überwachen und deren Nutzer zu benachrichtigen.
„Söldnerartige Spyware-Angriffe wie solche, die offenbar NSO Groups Pegasus verwenden, sind extrem selten und deutlich ausgefeilter als gewöhnliche Cyberkriminalität oder Schadsoftware für Verbraucher.“
Dann könnte schon das Auslösen einer Apple-Warnung beim Ziel Teil einer ausgefeilten Operation sein.
Solche Zielpersonen reagieren auf bestimmte Weise oder sind dazu gezwungen. Man bringt jemanden, der sich versteckt, dazu, sich zu zeigen, und veranlasst ihn zu reagieren, selbst wenn man nur sein Verhalten beobachtet.
Was machen diese Zielpersonen als Nächstes? Wechseln sie das Telefon? Greifen sie auf bestimmte digitale Dienste zu? Warnen sie ihr Netzwerk über gewöhnliche Kommunikationswege? Aus Sicht eines Beobachters ist das ziemlich spannend.
Apple: „Wenn Sie eine Apple-Bedrohungsbenachrichtigung erhalten haben, empfehlen wir Ihnen dringend, fachkundige Hilfe in Anspruch zu nehmen, etwa schnelle Notfall-Sicherheitsunterstützung durch die gemeinnützige Digital Security Helpline von Access Now. Empfänger von Apple-Bedrohungsbenachrichtigungen können die Digital Security Helpline über die Website rund um die Uhr, an 365 Tagen im Jahr, kontaktieren. Externe Organisationen haben keine Informationen darüber, warum Apple eine Bedrohungsbenachrichtigung verschickt hat, können Zielnutzern aber mit maßgeschneiderten Sicherheitsempfehlungen helfen.“
https://support.apple.com/en-lamr/102174
Amnesty International: „Auch die Access Now Helpline und andere zivilgesellschaftliche Partner des Security Lab sind bereit, Personen zu unterstützen, die eine Apple-Benachrichtigung erhalten haben.“
https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
Es ist erstaunlich, dass nach dem FBI-Durchbruch eines iPhones im Jahr 2018 noch jemand Geheimnisse auf einem iPhone speichert.
Wer wissen möchte, wie die tatsächliche Nachricht aussieht: Ein Reddit-Nutzer hat sie zusammen mit einer früheren Version von 2023 gepostet. Sie ist nicht vollständig enthalten: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
Ist diese Spyware durch Engineering-Fehler in Apple-Produkten möglich?
Aber bedeutende Software ohne solche Fehler hat es bislang nie gegeben. Anders gesagt: Bei dieser Art von Angriff halte ich iOS vermutlich für besser als die meisten anderen Plattformen.
https://darknetdiaries.com/episode/100/
Eigentlich dürfte das praktisch alle Länder betreffen; interessant ist, dass Benachrichtigungen nur in 92 Länder gehen.
Es steht nicht dabei, welche 92 Länder das sind.