FORCEDENTRY: Kritische Sicherheitslücke bei Apple und Steigbügelhalter für Pegasus

15.09.2021
G DATA Blog

Das kanadische Citizen Lab hat eine kritische und bisher unbekannte Sicherheitslücke an Apple gemeldet. Die auf den Namen „FORCEDENTRY“ getaufte Sicherheitslücke wurde mit dem aktuellsten Apple-Update geschlossen. Ausgenutzt wurde sie unter anderem von der Spionagesoftware Pegasus.

Wer ein Apple-Geräte mit iOS 14.7 oder älter einsetzt, einen Apple-Computer mit OSX 11.6 oder älter oder eine Apple Watch mit watchOS 7.6.1 oder älter im Gebrauch hat, sollte sofort das aktuellste Update einspielen. So lautet die Empfehlung von Apple und der kanadischen CitizenLab-Forschungsgruppe. Die Sicherheitslücke mit dem Namen „FORCEDENTRY“ (dt. etwa: „gewaltsames Eindringen“) nutzt eine Schwachstelle in der Bildverarbeitung von Apples Betriebssystemen aus und ermöglicht die Übernahme eines Gerätes ohne Interaktion des Nutzers – man spricht hier von einem so genannten „Zero Click“ Exploit. Die betroffene Komponente wird von allen Apple-Betriebssystemen genutzt.

Schnelle Reaktion

Apple hat innerhalb von weniger als einer Woche auf die Meldung reagiert und ein Update bereitgestellt. Ein Eintrag in der NVD ist ebenfalls erfolgt, unter der Bezeichnung „CVE-2021-30860“. Dass Apple so schnell mit einem Update reagiert, ist ebenfalls bemerkenswert, denn das Unternehmen aus Cupertino hat in der Vergangenheit öfter dadurch von sich reden gemacht, dass auch kritische Sicherheitslücken monatelang ungepatcht blieben. Auch die Art und Weise der Zusammenarbeit mit externen Sicherheitsforschern kann man ohne Bedenken als "problematisch" bezeichnen. Auch wenn es ein Bug Bounty-Programm gibt, ist die Reaktion darauf eher verhalten.

Keine Überraschung

Dass Spionageprogramme wie NSO’s „Pegasus“ – das übrigens auch auf der Beschaffungsliste deutscher Behörden steht - auf solche Sicherheitslücken angewiesen sind, ist nichts Neues. Gleiches gilt für die Tatsache, dass auch Sicherheitsbehörden und Geheimdienste solche Sicherheitslücken horten und bewusst nicht an Hersteller melden. Ziel ist es, unbemerkt diese Sicherheitslücken auszunutzen, um etwa eine Überwachung verdächtiger Personen zu ermöglichen.

Ein weiterer Haken an der Sache ist: sobald eine solche Schwachstelle öffentlich bekannt wird, treten sehr schnell kriminelle Trittbrettfahrer auf den Plan. Sie versuchen ihrerseits, die Sicherheitslücken in ihrem eigenen Sinn zu missbrauchen. Daher ist es umso wichtiger, dass Updates in einem solchen Fall so schnell wie möglich ihren Weg auf die betroffenen Geräte finden. Denn gerade in den Stunden und Tagen nach einem Update suchen Kriminelle besonders intensiv nach Systemen und Geräten, die potenziell angreifbar sind.

Erhöhte Wachsamkeit

Wenn es um die Entwicklung von Werkzeugen geht, mit denen auch in der Vergangenheit bestimmte Personen rechtswidrig überwacht worden sind, dann ist erhöhte Wachsamkeit geboten. Gerade die Macher von Pegasus haben sich hier in der Vergangenheit nicht mit Ruhm bekleckert – aller Versicherungen zum Trotz, dass man seine Kunden besonders sorgfältig auswähle und Missbrauch umgehend durch Beendigung der Geschäftsbeziehung unterbinde. Dennoch wurden in vielen Ländern Journalistinnen und Journalisten, Bürgerrechtsvertreter sowie Angehörige der politischen Opposition mit Hilfe von Werkzeugen wie Pegasus ausspioniert.

Egal wie nobel die Absichten der Entwickler auch sein mögen: Spionagesoftware ist und bleibt schädlich und gefährlich. Für zahlreiche Anbieter von Sicherheitslösungen gibt daher der Grundsatz, dass bei der Herkunft einer Spionagesoftware keine Rolle spielt, wer sie entwickelt hat.
In dieser Sache hat auch G DATA eine eindeutige Meinung. Spionagesoftware ist Schadsoftware und wird auch genau so behandelt.

Tim Berghoff
Security Evangelist

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein