Spyware Predator umgeht iPhone-Warnanzeigen für Kamera und Mikrofon: Ein Blick hinter die Kulissen
Die scheinbar fest verdrahtete Warnung, ob Kamera oder Mikrofon beim iPhone aktuell aktiv sind, lässt sich laut Sicherheitsforschern offenbar umgehen. Das Team von Jamf, einem Spezialisten für Mobile Device Management (MDM), hat in einer aktuellen Untersuchung aufgedeckt, dass zumindest eine Spyware diese Anzeige-Mechanik unterbindet: Predator, eine kommerziell erhältliche Spionagesoftware des Herstellers Intellexa/Cytrox. Um diesen Trick auszuführen, muss jedoch zuvor das iPhone vollständig übernommen worden sein und die Spyware Kernelzugriff besitzen. Im Gegensatz zum Mac, der über eine physische LED für die Webcam-Anzeige verfügt (gegen die aktuell keine Hacks bestehen, historisch jedoch schon welche existierten), werden grüne bzw. orange Anzeigen auf iPhones und iPads rein grafisch dargestellt – ein grünes Licht signalisiert Kamerazugriff (ggf. zusammen mit Mikrofon), während ein oranges Licht einen ausschließlichen Mikrofonzugriff anzeigt. Predator hingegen nutzt eigene Hooks und Code-Injektionen, um diese tief im System verankerte Anzeigefunktion auszumerzen.
Die Jamf-Studie, die keine neuen Angriff Vektoren für die aktuellste iOS-Version beschreibt, sondern ein Reverse-Engineering von Predator beinhaltet, identifiziert einen einzelnen Hook, der sowohl Kamera- als auch Mikrofonanzeige manipulieren kann. In früheren Ansätzen wurde ein simuliertes Herunterfahren des Geräts verwendet, um anschließend Kamera und Mikrofon aktiv zu schalten. Predator hingegen unterdrückt lediglich die visuelle Anzeige, während der eigentliche Zugriff weiterhin besteht. Die Forscher betonen, dass diese Erkenntnisse Lücken in den vorhandenen Bedrohungsinformationen schließen und aufzeigen, wie raffinierte Post-Exploitation-Techniken von kommerzieller Spyware eingesetzt werden, um die Datenschutzmaßnahmen von iOS zu umgehen. Bereits 2024 hatte die Google Threat Intelligence Group Angriffe mit Predator aufgedeckt. Diese Spyware ist vermutlich sehr kostspielig und nur für gezielte Operationen konzipiert. Die Ausnutzung der Anzeige-Mechanik erfordert vollständigen Zugriff auf das iPhone, was nur durch schwerwiegende Zero-Day-Vulnerabilitäten möglich ist, die jedoch immer wieder auftreten.
Schlagwörter: iPhone + Kamera + Jamf
Wie bewerten Sie den Schreibstil des Artikels?