Apple warnt einen Exploit-Entwickler, dass sein iPhone von staatlicher Spionagesoftware ins Visier geraten ist

 (techcrunch.com)
2 Punkte von GN⁺ 2025-10-23 | 1 Kommentare | Auf WhatsApp teilen
  • Apple hat einem Exploit-Entwickler eine Warnmeldung gesendet, dass sein iPhone Ziel von staatlicher Spionagesoftware geworden ist
  • Der entsprechende Entwickler war zuvor ein Experte bei Trenchant, wo er an iOS-Zero-Day-Schwachstellen und -Tools arbeitete
  • In den letzten Monaten wurden zusätzlich Exploit- und Spyware-Entwickler, die ebenfalls ähnliche Spionware-Warnungen von Apple erhalten hatten, identifiziert
  • Die Verbreitung von Spyware und Zero-Day-Angriffstools führt dazu, dass der Kreis der Betroffenen auf Sicherheitsfachleute erweitert wird
  • Die Vermutung von Leaks von Hacking-Tools im Unternehmen zusammen mit dem Kündigungsprozess lässt die Möglichkeit zu, dass er zu Unrecht zum Sündenbock gemacht wurde

Ereignisübersicht

  • Zu Beginn dieses Jahres erhielt ein Hack-Tools-Entwickler auf seinem privaten iPhone die Nachricht: „Wir haben festgestellt, dass Ihr iPhone das Ziel eines zielgerichteten mercenary-Spyware-Angriffs geworden ist.“ Er reagierte mit großem Erstaunen
  • Die betroffene Person offenlegte ihren echten Namen nicht und verwendete das Pseudonym Jay Gibson aus Sorge vor Repressalien
  • Gibson war bis vor kurzem bei Trenchant, einem Anbieter von Hacking-Tools für westliche Regierungen, für die Entwicklung von iOS-Zero-Days und Exploits zuständig
  • Er gilt als erste Person in der Branche, bei der dokumentiert wurde, dass ein Exploit- und Spyware-Entwickler selbst Ziel solcher Angriffe wurde

Vorfälle nach der Warnung

  • Gibson beschreibt: „Ich war vollkommen fassungslos und in panischer Angst vor dem, was als Nächstes passieren könnte.“ Er schaltete das Telefon sofort aus, legte es weg und kaufte ein neues Gerät
  • Er hatte mehrere hektische Reaktionen, darunter einen Anruf bei seinem Vater, und bezeichnete die damalige Situation als äußerst chaotisch
  • In einem Interview mit TechCrunch sagte Gibson: „Wenn die Lage so weit eskaliert, weiß niemand, was als Nächstes passieren wird.“

Weitere Opfer in der Branche

  • Neben Gibsons Fall wurden im Zuge der Recherchen weitere Spyware- und Exploit-Entwickler ermittelt, die in den letzten Monaten Spionware-Warnmeldungen von Apple erhalten haben
  • Apple reagierte nicht auf die Kommentaranfrage von TechCrunch

Auswirkungen der Ausbreitung von Spyware und Zero-Day-Tools

  • Der Fall von Gibson zeigt, wie die Verbreitung von Zero-Day- und Spyware-Tools zu einer zunehmenden Heterogenität der Angriffsziele führt
  • Die Anbieter von Spyware/Zero-Day-Tools behaupteten bislang offiziell, ihre Werkzeuge würden von vertrauenswürdigen Regierungsstellen nur gegen Kriminelle oder Terroristen eingesetzt
  • Mehrere Forschungsgruppen wie das Citizen Lab der University of Toronto, Amnesty International und andere bestätigten jedoch über die letzten zehn Jahre Dutzende Fälle, in denen Regierungen diese Werkzeuge wiederholt gegen Oppositionelle, Journalistinnen, Menschenrechtsaktivistinnen und politische Gegner einsetzten
  • Auch gab es bereits Fälle, in denen Sicherheitsforscher Ziel von Hackergruppen wurden (etwa im Kontext von Nordkorea), jedoch sind Fälle, in denen ein Spyware-Entwickler selbst zum Ziel wird, weiterhin selten

Untersuchung wegen Leak-Verdacht und interne Konflikte

Nach der Apple-Warnung

  • Nach Erhalt der Warnmeldung wandte sich Gibson an einen Experten, der über umfangreiche forensische Erfahrung bei der Auswertung von Spyware-Angriffen verfügt
  • Die erste Analyse zeigte keine eindeutigen Infektionsspuren, der Experte empfahl jedoch eine vertiefte forensische Prüfung
  • Für eine genauere Analyse war ein vollständiges Gerät-Backup erforderlich, Gibson lehnte jedoch weitere Ermittlungen wegen Datenschutz- und Sicherheitsbedenken ab
  • In jüngeren Spyware-Fällen nehme zudem die Häufigkeit zu, dass keine klaren Spuren bei der Forensikanalyse gefunden werden

Kündigung und interner Konflikt

  • Ungefähr einen Monat vor der Apple-Warnung besuchte Gibson das Londoner Trenchant-Büro im Rahmen einer Teambuilding-Veranstaltung
  • Direkt nach seinem Eintreten wurde er vom Teamleiter mitgeteilt, dass er wegen Verdachts auf Doppelbeschäftigung unter Beschränkung gesetzt wurde und alle Firmengeräte eingezogen sowie geprüft würden
  • Zwei Wochen später erhielt Gibson eine offizielle Kündigung und ein Vergleichsangebot
  • Gibson behauptet, dass das Unternehmen ihn als Sündenbock (scapegoat) für einen Leak der firmeneigenen Hacking-Tools markiert habe
  • Gibson und drei Kollegen erklärten, sie hätten mit Chrome-bezogenen Zero-Days nichts zu tun gehabt; die internen Teams seien streng nach Plattformen getrennt
  • Die Entlassung Gibsons, ihre Gründe sowie interne Verdächtigungen und Gerüchte wurden von drei ehemaligen Trenchant-Kollegen unabhängig voneinander bestätigt

Bedeutung und Zusatzinformationen

  • Der Fall gilt als Warnsignal dafür, dass die Verbreitung von Spyware-Technologie sogar Sicherheitsfachleute in der Branche selbst direkten Angriffen aussetzt
  • Er wirft mehrere Fragen zur staatlichen Nutzung von Security-Lücken als Waffe, zu internen Sicherheitsrisiken und zum Schutz von Entwicklern auf
  • Der Sprecher von L3Harris (Mutterkonzern von Trenchant) lehnte eine offizielle Stellungnahme ab
  • Gibson und seine ehemaligen Kollegen vertreten die Ansicht, dass er nicht für den Leak verantwortlich sei und die Entscheidung des Unternehmens falsch gewesen sei

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-23
Hacker News Kommentar

  • Ich habe schon bei dieser Art von Unternehmen Vorstellungsgespräche geführt (nicht bei der im Artikel genannten). Tatsächlich habe ich sogar erlebt, dass sie, nachdem ich ein Angebot erhalten hatte, dabei erwischt wurden, wie sie gegen mich mit Schwachstellen gearbeitet haben. Ich schätze, auch dieser Fall spielt in genau demselben Kontext. Ich kann mir nicht vorstellen, solche Lücken mit der Absicht zu entwickeln, sie anschließend wiederzuverkaufen. Wenn solche Firmen so selbstverständlich Angriffs-Tools sogar gegen eigene Mitarbeitende einsetzen, wird es keine echte Grenze geben, sie auch gegen echte Entscheidungsträger wie Parlamente, Gerichte, Investmentbanken oder IT-Leitungen einzusetzen. Das schafft die Fähigkeit, die einflussreichsten Menschen der Welt zu erpressen. Übrigens wird nicht einmal erwähnt, dass diese Firmen planen könnten, sie gegen Dissident:innen oder Journalist:innen einzusetzen.

    • Solche Firmen filtern im Grunde Menschen mit starken ethischen Werten aus und ziehen im schlimmsten Fall diejenigen an, die denken: „Ich möchte andere Menschen heimlich überwachen.“ Diese Realität ist beängstigend.

    • Wenn jemand fragt, ob man so etwas „eindeutig moralisch“ entwickeln kann, möchte ich sagen: Aufklärungsaktivität wird in irgendeiner Form ohnehin stattfinden, und CNE (Computer Network Exploitation) ist kostengünstiger und verursacht weniger Schaden als menschliche Aufklärung. Natürlich ist das gravierend, dass diese Technologie weltweit gegen Dissident:innen und Journalist:innen missbraucht wird. Auch ich möchte in diesem Bereich nicht arbeiten (und habe diese Fähigkeiten inzwischen auch nicht mehr). Menschen, die in dieser Branche für Staaten der NATO arbeiten, tun es aber mit einer nachvollziehbaren Logik. Wer Justiz und Geheimdienste grundsätzlich misstraut, ist eine Minderheit, und viele Familien sind stolz darauf, wenn jemand aus dem eigenen Haus in diesem Bereich arbeitet. Der wirklich wichtige Punkt hier ist: „Unsere Meinung ist bedeutungslos.“ Bei den aktuellen Marktpreisen kann sich fast jeder Staat CNE-Technologie leisten, und Anbieter außerhalb der NATO versorgen diesen Markt ebenfalls in ausreichendem Maß.

    • Dass sie tatsächlich bis zu einem Angriffversuch gegangen sind, ist wirklich schockierend. Ich wäre neugierig gewesen, wie der Angriff im Detail aussah – ob sie beispielsweise einen Link per SMS geschickt haben oder auf irgendeinem anderen Weg.

    • Vielleicht war das nur Teil eines Interviewprozesses.

    • Aus genau diesem Grund möchte ich nicht in der Cybersicherheitsbranche arbeiten. Es ist ein extrem riskantes Feld, fast wie ein rechtsfreies Gelände.

  • Im Artikel habe ich den Satz gesehen, dass es sich möglicherweise um den ersten dokumentierten Fall handelt, in dem Gibson selbst Schwachstellen- und Spyware-Entwicklung gemacht und direkt einen Spyware-Angriff erlebt hat. In den letzten Monaten scheint es jedoch auch andere betroffene Spyware- und Schwachstellenentwickler:innen gegeben zu haben.

  • Mich interessiert weniger die „Drama zwischen Entwickler und ehemaligem Arbeitgeber“-Komponente als vielmehr, wie Apple solche Entscheidungen trifft.

    • Der frühere Arbeitgeber könnte ein Wi‑Fi-Sandbox- oder Stingray-ähnliches Gerät genutzt haben; bei Apple zeigt sich aber, dass der Traffic über den offiziellen iMessage-/PushNotification-Kanal lief.

  • Bei Gibsons Aussage „Ich war in Panik“ musste ich lachen und mich fragen, ob sein echter Name vielleicht Jay Gibson ist und der Journalist es nicht wusste.

  • Den Beitrag „Apple informiert den Exploit-Entwickler“ musste ich mehrfach lesen, um die Bedeutung zu kapieren. Am Anfang las ich es als „Apple-Benachrichtigungen greifen irgendwie Entwickler an“, und erst später interpretierte ich: „Apple sendet Warnungen an Entwickler, die Sicherheitslücken herstellen.“

    • Bedeutet das also, dass Apple dem Entwickler die „Schwachstelle“ gemeldet hat? :)

  • Letztlich scheint jemand innerhalb dieser Organisation eine Chrome-Schwachstelle geleakt zu haben, und diese Person wurde wie ein Sündenbock ausgewählt. Auch wenn alles wie eine aufgesetzte Story wirken kann.

  • Dass diese Person zwar über Tools verfügt, mit denen sie selbst oder ihre hochrangigen Kunden prüfen könnte, ob sie etwas ausgegeben hat, und dennoch annimmt, dass man nicht einmal nachsehen würde, ob „das wirklich passiert ist“, ist wirklich naiv. Vielleicht war es auch ein symbolischer Schritt, nur um zu warnen.

  • Nachdem ich Gibsons Zitat „Ich war in Panik“ gelesen hatte, zeigte der Artikel später den Ablauf: „Ohne gründliche forensische Analyse lässt sich nicht sagen, warum der Angriff stattgefunden hat“, „Er ist überzeugt, dass die Warnung von Apple mit der Trennung von Trenchant zusammenhängt“. Interessant ist, dass (1) er offenbar nie erwartet hat, dass so etwas ihm passieren könnte, und (2) obwohl er in dieser Lage einem Interview zustimmt, Repressalien fürchtet. Ehrlich gesagt wissen Leute, die es wirklich interessiert, den echten Namen vermutlich längst.

    • Diese Geschichte riecht ehrlich gesagt ziemlich nach Fiktion, es sei denn, diese Person ist in der Szene kein bekannter „Falkenfänger“. Wer im Schwachstellen-Forschungsbereich arbeitet, sollte alle Angriffsvektoren klar kennen, und wenn man bei einem sensiblen Unternehmen wie Trenchant arbeitet, würde man Apple-Geräte im Job nicht (zumindest nicht vollständig) verwenden. Üblicherweise betreibe ich zwei Telefone: ein normales öffentliches und ein separates, stark gehärtetes Privatgerät. Bei einem Apple-Gerät zeigt der Paketverkehr über den Router eine riesige Menge nicht kontrollierbarer Daten, die zu Apple gehen. Mit einem custom gerooteten und de-googled Android-Gerät, das ich auf Reisen mit mir führe, bleibt dagegen nur NTP-Verkehr übrig, und das höchstens zur Vermeidung von Zertifikatszeitabweichungen.

    • In dieser Situation könnte ein Gang in die Öffentlichkeit auch eine strategische Entscheidung gewesen sein, um ein Verschwinden zu verhindern.

  • Im Passus „Gibson, der Überwachungssoftware entwickelt hat, wurde selbst zur ersten dokumentierten Zielperson von Spyware“ kam mir das Meme „leopards ate my face“ in den Sinn — solche Tools werden schließlich entwickelt, um tatsächlich eingesetzt zu werden.

    • Es ist schon seit über 20 Jahren wohlbekannt in der Branche, dass Schwachstellenentwickler die Hauptziele von Spyware sind. Der Journalist scheint die Gegebenheiten dieser Branche nicht wirklich zu kennen.

    • Wenn du dich für das Meme „Leopards ate my face“ interessierst, findest du es hier.

    • Der ganze Artikel wirkt wie eine klassische „Du hast gesagt, ich sage"-Kontroverse, die nach Gibsons Entlassung bei Trenchant/L3Harris entstand.

  • Auch ich habe früher bei einem Vertragsjob in der Rüstungsbranche Ähnliches erlebt, daher kann ich Gibson ein Stück weit nachvollziehen. Solche Unternehmen locken mit ordentlichen Gehältern und dem Versprechen, eine „gute Arbeit“ zu tun, ziehen dann aber die Energie der Mitarbeitenden komplett heraus, um Gewinn zu generieren, und schieben bei Problemen sofort jegliche Verantwortung ab (vor allem wenn man interne Korruption oder Fehler gewissensbasiert melden will: Man wird sofort entlassen und in der Branche komplett gebrandmarkt). Es ist am besten, nicht für solche Leute zu arbeiten, aber Menschen kommen immer wieder hinein, getrieben von der naiven Idee, „etwas Gutes“ zu tun oder „den Bösen“ aufhängen zu wollen; am Ende entsteht genau dieses „Leopards ate my face“-Meme.

    • Ich habe das so angefangen: „Wenn ich reinkomme, mir eine Top-Secret-Clearance hole und Offizieren beibringe, wie man LAN verwaltet und Bilder in PowerPoint einfügt, bin ich nie arbeitslos.“ Die Realität war jedoch, dass ich am Ende nur noch wie eine austauschbare Komponente im PowerPoint-Krieg anderer fungierte. Alle Meetings fühlten sich wie ein Hochrisiko-Theaterstück an, in dem nur „Ja, verstanden“ geantwortet wird; Verantwortung ist Verhandlungsmasse, und wer die Stimme erhebt, wird sofort abgeschnitten. Milliardenfehler werden als „Lektion gelernt“ abgetan und stattdessen mit Ehrlichkeit argumentiert. Für mich ist das geradezu zynisch: Es ist wie bei „Der König ist nackt“, nur dass alle am Halse eine Schleife tragen und ausschließlich mit Klassifikationsangst zittern.