Spyware kann Kamera- und Mikrofonanzeige beim iPhone abdrehen

Die scheinbar „fest verdrahtete“ Warnung, dass Kamera oder Mikrofon beim iPhone aktuell aktiv sind, lässt sich offenbar umgehen. Das Sicherheitsforschungsteam des MDM-Spezialisten Jamf warnt in einer neuen Untersuchung davor, dass dies mindestens eine bekannte Spyware bereits tut. Dabei handelt es sich um die kommerziell erhältliche Spionagesoftware Predator vom Hersteller Intellexa/Cytrox. Immerhin: Damit der Trick funktioniert, muss das iPhone zuvor vollständig übernommen worden sein und die Spyware Kernelzugriff haben.

Eingriff ins System mit einem Hook

Im Gegensatz zum Mac, der eine physische LED für die Webcam-Anzeige verwendet, für die zumindest aktuell keine Hacks bekannt sind (allerdings früher), werden ein grünes Licht für Kamerazugriff (plus gegebenenfalls Mikrofon) und ein oranges Licht für Mikrofonzugriff auf iPhones und iPads rein grafisch dargestellt. Predator nutzt zur Umgehung dieser tief im System verankerten Funktion eigene Hooks und Code-Injections, die Systemprozesse aushebeln.

In ihrer Studie, die keine neuen Angriffsformen für die jüngste iOS-Version beschreibt, sondern ein Reverse-Engineering von Predator vornimmt, wird ein einzelner Hook identifiziert, der sowohl Kamera- als auch Mikrofonanzeige aushebeln kann. Frühere Ansätze arbeiteten anders, simulierten ein Herunterfahren des gesamten Geräts, um dann Kamera und Mikrofon aktiv zu lassen. Predator unterdrückt hingegen nur die Anzeige, während das iPhone normal weiterarbeitet.

Spyware braucht kompletten iPhone-Zugriff

Aus der Jamf-Studie geht nicht hervor, was Apple tun könnte, um diese Angriffsform abzuwehren – oder ob die ausgenutzten Lücken weiterhin bestehen beziehungsweise überhaupt abgewehrt werden könnten. „Diese Erkenntnisse schließen Lücken in den vorhandenen Bedrohungsinformationen und zeigen die ausgeklügelten Post-Exploitation-Techniken auf, die von kommerzieller Spyware eingesetzt werden, um die Datenschutzmaßnahmen von iOS zu umgehen“, schreiben die Forscher. Wir haben bei Jamf angefragt, wie man die aktuelle Lage dort einschätzt.

Informationen zu Predator waren bereits 2024 bekannt geworden – die Google Threat Intelligence Group hatte die Angriffe aufgedeckt. Bei der Spyware handelt es sich um eine vermutlich sehr teure und nur für gezielte Angriffe eingesetzte Software. Um die Kamera- und Mikrofonanzeige auszuhebeln, muss sie wie erwähnt vollen Zugriff auf das iPhone haben, was nur über die Ausnutzung schwerwiegender Zero-Day-Lücken geht. Diese treten allerdings immer wieder auf.

(bsc)