Googles Project Zero and Threat Analysis Group (TAG) präsentierte ihre Erkenntnisse zu den Aktivitäten eines italienischen Herstellers vonSpionage-Apps mit dem Namen RCS Labs. Es ist nicht so groß und umfangreich wie Israels NSO-Gruppe und ihre proprietäre Spyware Pegasus. Trotzdem gibt es sie seit einigen Jahren und wurde bei Menschen in Italien, Kasachstan und Syrien eingesetzt. Auch wenn Ihr Ländername nicht auf der Liste steht, beachten Sie, dass TAG derzeit über 30 Softwareanbieter verfolgt ein Telefon ausspionieren die sich zu einem vollwertigen Ökosystem entwickelt haben und Regierungen auf der ganzen Welt ihre Dienste anbieten. Lassen Sie uns also verstehen, wie diese Dinge funktionieren.
Wie funktioniert RCS Labs Android- und iOS-Spyware?
Die Spyware wird als gefälschte My Vodafone-App getarnt, die den Benutzern über einen SMS-Link zugestellt wird, und sie werden dazu verleitet, die App zu installieren. Nun, um sie zu überzeugen, forderten Angreifer manchmal ISPs auf, zuerst die mobilen Daten zu trennen, und forderten sie dann auf, die bestimmte My Vodafone-App zu installieren, um die Dienste wiederherzustellen.
Die App sieht echt aus und das Seitenladen funktioniert, weil sie über Apples Enterprise Developer Program angeschlossen wurde. Apple hat jedoch jetzt alle damit verbundenen Zertifikate und Accounts widerrufen.
In Bezug auf Sideloading sagte Apple: „Unternehmenszertifikate sind nur für den internen Gebrauch durch ein Unternehmen und nicht für die allgemeine Anwendungsverteilung gedacht, da sie verwendet werden können, um App Store- und iOS-Schutzmaßnahmen zu umgehen. Trotz der strengen Kontrollen und des begrenzten Umfangs des Programms haben böswillige Akteure unbefugte Wege gefunden, sich Zugriff darauf zu verschaffen, beispielsweise durch den Kauf von Unternehmenszertifikaten auf dem Schwarzmarkt.
Apple hat auch Exploits behoben, die von Angreifern genutzt wurden, um sich in die iPhones der Opfer einzuschleichen.
Laut Project Zero-Mitglied Ian Beer waren die Exploits in erster Linie dank des neuen „System on Chip“ und der „Coprozessoren“ erfolgreich, die in neueren iPhones verwendet werden, die auch von Android-Telefonen verwendet werden.
Unterdessen bemerkte TAG-Mitglied Benoit Sevens: „Die kommerzielle Überwachungsindustrie profitiert von der Forschung der Jailbreaking-Community und nutzt diese weiter. In diesem Fall stammen drei der sechs Exploits von öffentlichen Jailbreak-Exploits. Wir sehen auch, dass andere Überwachungsanbieter Techniken und Infektionsvektoren wiederverwenden, die ursprünglich von Cyberkriminalitätsgruppen verwendet und entdeckt wurden. Und wie andere Angreifer verwenden Anbieter von Überwachungslösungen nicht nur ausgeklügelte Exploits, sondern auch Social-Engineering-Angriffe, um ihre Opfer anzulocken. »
Ein anderer TAG-Mitarbeiter, Clément Lecigne, sagte gegenüber WIRED, dass „diese Anbieter die Verbreitung gefährlicher Hacking-Tools ermöglichen und Regierungen bewaffnen, die möglicherweise nicht in der Lage sind, diese Fähigkeiten intern zu entwickeln. Aber es gibt wenig bis gar keine Transparenz in dieser Branche, weshalb es wichtig ist, Informationen über diese Anbieter und ihre Fähigkeiten auszutauschen. »
Wir stimmen zu und schätzen Google und andere Parteien, die an der Entdeckung dieser Schwachstellen beteiligt sind. Wenn Sie nun ein iPhone oder ein anderes Computergerät besitzen, wird Ihnen empfohlen, die Software auf dem neuesten Stand zu halten.
