Apple hat kürzlich Notfallpatches für drei als kritisch eingestufte Zero-Day-Schwachstellen herausgegeben, die von Bedrohungsakteuren in der Praxis ausgenutzt wurden. Forscher entdeckten eine Exploit-Kette, die es ermöglicht, Spyware auf dem betroffenen Gerät zu installieren.
Die Schwachstellen tragen die Bezeichnungen CVE-2023-41991, CVE-2023-41992 und CVE-2023-41993. Apple empfiehlt seinen Nutzern dringend, diese Sicherheitspatches so bald wie möglich zu installieren.
Die Exploit-Kette wurde von Intellexa entwickelt und kann über einen sogenannten Man-In-The-Middle-Angriff (MITM) geliefert werden. Bei diesem Angriff positioniert sich der Bedrohungsakteur zwischen der Website und dem Opfer. Allerdings waren Benutzer, die verschlüsselte Websites (SSL – https://) besuchten, im Vergleich zu denen, die unsichere Websites (http://) besuchten, nicht betroffen.
Opfer, die eine unsichere Website besuchen, können von dem Bedrohungsakteur zu einer anderen Website umgeleitet werden. Wenn es sich bei dem Benutzer um ein erwartetes Opfer handelt, wird er ohne jegliche Interaktion zu einem Exploit-Server weitergeleitet, was bedeutet, dass es sich um einen 0-Klick-Exploit handelt.
Für iOS-Nutzer beginnt die Exploit-Kette nach der Umleitung auf den Exploit-Server und entscheidet, ob Predator-Implantate installiert werden sollen. Für Android-Nutzer gibt es zwei Methoden: die MITM-Injektion und Direktlinks, die den Opfern einmalig zugesendet werden.
Zusätzlich wurde für Android eine Schwachstelle in Google Chrome (CVE-2023-4762) ausgenutzt.
Das Google Threat Analysis Group veröffentlichte in Zusammenarbeit mit dem Citizen Lab einen ausführlichen Bericht über diese Exploit-Kette.
