Bei einer Zero Day Exploit Attack (ZETA) handelt es sich um einen Angriff, der noch am selben Tag stattfindet, an dem die dazu genutzte Sicherheitslücke in der entsprechenden Software entdeckt worden ist. So erfolgt sie noch bevor die Schwachstelle gefixt werden kann. Gleich sieben Zero-Day-Lücken von Google wurden nun offenbar ausgenutzt, um einen iPhone-Hack durchzuführen. Ein entsprechender Fix in Form eines Mac-, Apple Watch- und iPhone-Updates ist bereits verfügbar.
iPhone-Hack dank Schwachstellen bei Google
Mit neuartigen Ausnutzungs- und Verschleierungstechniken, der Beherrschung einer Vielzahl von Schwachstellenarten und einer komplexen Bereitstellungsinfrastruktur nutzte die Gruppe im Februar 2020 vier Zero Days aus. Die Fähigkeit der Hacker, mehrere Exploits aneinanderzureihen, die vollständig gepatchte Windows- und Android-Geräte kompromittierten, veranlasste Mitglieder von Googles Project Zero und Threat Analysis Group, die Gruppe als „hoch entwickelt“ zu bezeichnen. Mittlerweile stellen infolge der Exploits aber auch iPhone-Hacks ein Risiko dar.
„Im Oktober 2020 entdeckten wir, dass der Akteur aus der Kampagne vom Februar 2020 mit der nächsten Iteration seiner Kampagne zurückkam: ein paar Dutzend Websites, die auf einen Exploit-Server umleiten“, schreibt die Project Zero-Forscherin Maddie Stone nun in einem Blog-Eintrag. „Sobald unsere Analyse begann, entdeckten wir Links zu einem zweiten Exploit-Server auf derselben Website.“
Die neuen operativen Exploits lassen auch vermuten, dass die Entitäten zwischen Exploit-Server #1 und #2 zwar unterschiedlich sind, aber wahrscheinlich koordiniert arbeiten. Beide Exploit-Server verwendeten den Chrome Freetype RCE (CVE-2020-15999) als Renderer-Exploit für Windows (Exploit-Server #1) und Android (Exploit-Server #2), aber der Code, der diese Exploits umgab, war recht unterschiedlich.
iPhone-Update verhindert Exploits der Zero Days
Relevant für den durchgeführten iPhone-Hack ist vor allem der Exploit-Server #1. „iOS, Android und Windows waren die einzigen Geräte, die wir getestet haben, während die Server noch aktiv waren“, heißt es weiter. „Das Fehlen anderer Exploit-Ketten bedeutet nicht, dass diese Ketten nicht existierten.“ Konkret seien vor entsprechenden Mac, Apple Watch und iPhone-Updates folgende Zero Days von den Angreifern ausgenutzt worden:
- CVE-2020-15999 – Heap-Pufferüberlauf in Chrome Freetype
- CVE-2020-17087 – Windows-Heap-Pufferüberlauf in cng.sys
- CVE-2020-16009 – Chrome-Typ-Verwirrung in TurboFan-Map-Verwerfung
- CVE-2020-16010 – Heap-Pufferüberlauf in Chrome für Android
- CVE-2020-27930 – Safari: Beliebiges Lesen/Schreiben des Stapels über Type-1-Schriftarten
- CVE-2020-27950 – iOS XNU Kernel-Speicheroffenlegung in mach-Nachrichtenanhängern
- CVE-2020-27932 – iOS-Kernel-Typ-Verwechslung mit Drehkreuzen
„Insgesamt zeigte jeder der Exploits selbst ein fachmännisches Verständnis der Exploit-Entwicklung und der ausgenutzten Schwachstelle. Im Fall des Chrome Freetype 0-Day war die Exploit-Methode neu für Project Zero“, so Stone. „Der Prozess, um herauszufinden, wie man die iOS-Kernel-Privileg-Schwachstelle auslösen kann, wäre nicht trivial gewesen. Die Verschleierungsmethoden waren vielfältig und zeitaufwändig herauszufinden.“
Dieses Problem wird in macOS Big Sur 11.0.1, watchOS 7.1, iOS 12.4.9, watchOS 6.2.9, dem Sicherheitsupdate 2020-006 High Sierra, dem Sicherheitsupdate 2020-006 Mojave, iOS 14.2 und iPadOS 14.2, watchOS 5.3.9, dem macOS Catalina 10.15.7 Supplemental Update und dem macOS Catalina 10.15.7 Update behoben.
Das Unternehmen pCloud, ein Schweizer Dienstleister für Cloudlösungen, hat derweil erst jüngst diverse Anwendungen unter dem Aspekt der Datensammlung aus Marketing- und Werbezwecken untersucht. Einige beliebte iPhone-Apps entlarvte es im Rahmen seiner Auswertung als invasive Datensammler. Doch weiß darüber hinaus noch eine weitere App erschreckend genau, wo du bist, und ermöglicht es so, präzise dein Handy zu orten.