Infektion ohne Interaktion

Smartphones speichern heute praktisch unser ganzes Leben: Chats, E-Mails, Bankzugänge, Standortdaten, Fotos. Das macht sie zu hochattraktiven Zielen für Angreifer. Höchst alarmierend ist zudem, dass bei realen Angriffen Geräte wiederholt kompromittiert wurden, ohne dass die Opfer etwas anklicken oder bestätigen mussten. Dieser Artikel gibt zunächst einen kompakten Überblick darüber, wie solche "No Interaction"-Infektionen funktionieren und was deren wichtigsten Methoden sind. Anschließend wird mit der Software "Pegasus" ein prominenter Fall betrachtet, der seit seiner Aufdeckung durch investigative Journalisten viel Aufmerksamkeit bekommen hat. Abschließend folgt der Versuch eines Ausblicks auf die Zukunft der Smartphone-Sicherheit.

Wie Geräte ohne Nutzerinteraktion kompromittiert werden können

Sicherheit in der digitalen Welt baut auf verschiedenen Säulen auf. Heute werden Soft- und Hardware mit stetig wachsender Sorgfalt so entwickelt, dass möglichst keine Sicherheitslücken mehr existieren. Doch eine der wichtigsten Säulen ist die Eigenverantwortung des Nutzers und dessen Umgang mit potenziellen Bedrohungen. Das Bewusstsein für die Gefahren im digitalen Raum scheint langsam zu wachsen, auch wenn beispielsweise simulierte Phishing-Angriffe noch immer erschreckend hohe Erfolgsquoten haben. Besonders am Smartphone neigen Nutzer zu unachtsamem Verhalten, da es oft in der Freizeit oder zur Unterhaltung genutzt wird und man als Nutzer "ja nur ein paar E-Mails nebenher beantworten will".

Dabei kann dem Nutzer schnell ein Fehler unterlaufen, indem er beispielsweise eine geschickt getarnte Trojaner-App herunterlädt. Diese werden immer wieder von Kriminellen in eigentlich vertrauenswürdigen Quellen wie dem Google Play Store oder dem Apple App Store platziert.

"Wer wild auf jeden Link klickt oder dem vorgeblichen nigerianischen Prinzen antwortet, ist doch auch selbst schuld!", ist allerdings ein gefährlicher Trugschluss und wiegt so manchen in falscher Sicherheit. Es gibt mehrere technische Wege, mit denen Angreifer ein Smartphone erreichen können, ohne dass der Nutzer aktiv mit einer E-Mail, einem Link oder einer App interagiert:

• Over-the-Air-/Baseband-Angriffe: Schwachstellen im Mobilfunk-Stack oder in der Carrier-Infrastruktur ermöglichen die Auslieferung von Code über das Funknetz. Das ist allerdings komplex, teuer und wird praktisch nur bei sehr zielgerichteten Kampagnen eingesetzt.
• Man-in-the-Middle-Angriff: In unsicheren WLANs oder über kompromittierte Netzwerkkomponenten kann Verkehr abgefangen und manipuliert werden; so lassen sich Payloads in legitime Antworten einbetten.
• Messaging-Service-Exploits: Viele Messaging-Dienste verarbeiten eingehende Inhalte (Bilder, Videos, Anhänge) automatisch. Fehler in diesen Parsern können ausgenutzt werden, sodass der Schadcode bereits beim Empfang ausgeführt wird.
• Browser Remote Code Execution (Drive-by): Schwachstellen im Browser oder in der Rendering-Engine können ausgenutzt werden, wenn eine Seite geladen oder vorgerendert wird – gelegentlich passiert dies auch im Hintergrund.
• Bluetooth / nahe Funkgeräte: Angriffe über Funkprotokolle können aktiv werden, sobald sich das Gerät in Reichweite einer manipulativen Hardware befindet.

Diese Vektoren unterscheiden sich in Aufwand, Reichweite und Tarnbarkeit. Es gibt vielfältige Szenarien, ein Smartphone ausspionieren zu wollen. Dabei reichen die Akteure von Kriminellen bis hin zum autoritären Regime, das gegen seine eigene Bevölkerung agitiert. In diesem Fall zählen insbesondere Journalisten, Aktivisten oder Entscheidungsträger zu den häufigsten Zielen. Für solche hochselektiven Angriffe bevorzugen Angreifer besonders verlässliche und unauffällige Methoden: die sogenannten Zero-Click-Exploits.

Zero-Click-Exploits

Was bedeutet "Zero-Click"? 

Zero-Click-Exploits nutzen Fehler in Komponenten, die eingehende Inhalte automatisch verarbeiten. Der Nutzer muss nichts öffnen oder bestätigen, um die verwundbare Routine anzustoßen. Angreifer nutzen dazu meist ein speziell gestaltetes Attachment oder Nachrichtenelement, das an die Telefonnummer des Opfers geschickt wird.

Warum sind Zero-Click-Exploits so gefährlich? 

Die Weisheit, nicht bei fremden Menschen ins Auto zu steigen, kann im digitalen Raum als "Klicke nicht auf unbekannte Links!" interpretiert werden.

Diese Abwehrstrategie ist zwar sehr effektiv, greift jedoch bei solchen Exploits häufig nicht, da sie meist aus mehrstufigen Angriffsketten bestehen. Dabei beginnt der Angriff in der Regel mit der Auslieferung der Schadsoftware, gefolgt von der Ausführung von Schadcode innerhalb eines Prozesses (Remote Code Execution). Anschließend verschaffen sich die Angreifer erweiterte Berechtigungen durch eine Eskalation der Rechte. Im letzten Schritt wird häufig ein sogenanntes Persistence-Implant eingerichtet, also ein Mechanismus oder eine versteckte Komponente, die dem Angreifer einen dauerhaften Zugriff auf das kompromittierte System ermöglicht, selbst nach Neustarts oder scheinbarer Bereinigung.

Zero-Click-Exploits sind teuer zu entwickeln und erzielen dementsprechende Preise auf dem Markt. Insbesondere im Graumarkt kaufen Firmen Exploits auf und verkaufen sie oft an staatliche Stellen weiter. Preislich reicht das Spektrum von einigen Tausend Dollar für einfache Schwachstellen bis hin zu Millionenbeträgen für komplexe Zero-Click-Exploit-Chains. Ein bekannter Anbieter ist Zerodium. Konkrete Zahlen aus den Preislisten zeigen beispielsweise, dass bis zu 5–7 Mio. Dollar für erstklassige Smartphone-Exploits aufgerufen werden, wenn sie besonders zuverlässig und ohne Nutzerinteraktion funktionieren.

Jede Verwendung dieser kostbaren Exploits erhöht jedoch das Risiko einer Entdeckung und Behebung. Daher werden diese meist nur gegen ausgewählte Ziele eingesetzt, etwa von Staaten gegen Oppositionelle, wie beim Pegasus-Skandal.

Deep Dive: Pegasus

Pegasus und NSO Group

Pegasus ist eine hochentwickelte Spyware-Suite, die von dem israelischen Unternehmen NSO Group entwickelt wird und an staatliche Stellen vermarktet wurde. Öffentliche Untersuchungen (z. B. Citizen Lab und Google Project Zero) lassen vermuten, dass Pegasus gegen Journalisten, Aktivisten, Politiker und andere selektierte Ziele eingesetzt wurde. Dies geschah häufig via Zero-Click-Nachrichten. Enthüllt wurden die Vorgänge im Juli 2021 durch ein internationales Recherchekonsortium. Die öffentliche Debatte um Missbrauch, Exportkontrollen und die ethische Frage staatlich unterstützter Überwachung gewann mit diesen Enthüllungen wieder deutlich an Relevanz.

Wer wird typischerweise angegriffen?

Zielgruppen sind vor allem Personen mit relevanter Informations- oder Einflussposition: Menschenrechtsaktivisten, investigative Journalisten, Oppositionelle, Anwälte, Manager u. ä.

Technischer Ablauf

Die frei verfügbaren Analysen (insbesondere die Google Project Zero-Untersuchung zum 2021-Fall) beschreiben eine typische, sehr ausgefeilte Angriffskette:

1. Lieferung der Payload via Nachricht: Das Opfer erhielt eine Nachricht mit einem speziell konstruierten Anhang. iMessage oder die zugrunde liegenden Parser begannen, diesen beim Empfang zu verarbeiten.
2. Ausnutzung eines Parser-Bugs: In Apples Rendering bzw. Parsing-Code (z. B. für Bilder oder Fonts) befand sich eine Schwachstelle. Eine speziell geformte Datei brachte den Parser in einen Zustand, der zu Remote Code Execution führte. Weil dieser Pfad automatisch beim Empfang ausgeführt wird, war keine Nutzerinteraktion nötig.
3. Eskalation und Implantation: Nach erfolgreicher Remote Code Execution folgten weitere Exploits, um aus Sandbox-Kontexten auszubrechen, Kernel-Primitives zu nutzen und schließlich ein voll funktionales Implant (Pegasus) zu installieren. Dieses konnte Nachrichten lesen, Mikrofon und Kamera aktivieren, Dateien exfiltrieren usw.
4. Operationales Niveau: Die Angriffskette war äußerst robust: Fallbacks, Memory-Grooming (Manipulation des Speichers, um Programmfluss zu steuern) und die feine Steuerung sind typische Merkmale professioneller staatlicher Werkzeuge.

Als wichtige Erkenntnis bleibt festzuhalten, dass die automatische Verarbeitung von fremden Inhalten grundsätzlich riskant ist. Entsprechender Parser-Code ist sehr komplex und häufig die Kernursache.

Fazit und Ausblick

Smartphones können unter den passenden Umständen ohne jede Nutzerinteraktion kompromittiert werden, insbesondere durch Zero-Click-Exploits, die Schwachstellen in automatisch verarbeitenden Komponenten ausnutzen. Der Pegasus-Fall zeigt exemplarisch, wie ein iMessage-Exploit eine vollständige Übernahme erlaubte. Solche Werkzeuge sind technisch anspruchsvoll und werden meist gezielt gegen hochrangige Ziele eingesetzt. Für die drei Gruppen Hersteller, Organisationen/Unternehmen und Endnutzer ergeben sich daraus folgende Verantwortungen:

• Hersteller müssen Parsing-Code härten, Auto-Processing minimieren und schnell patchen. Eine regelmäßige Qualitätskontrolle und Code-Reviews sind unerlässlich. Beim Erkennen von Schwachstellen und deren Ausnutzung sind regelmäßige Penetrationstests ein bewährtes Werkzeug.
• Organisationen und Unternehmen müssen ihre Prioritäten auf Patchmanagement, Device-Hygiene und Monitoring legen.
• Endnutzer (insbesondere Hochrisikopersonen) sollten regelmäßig ihre Geräte wechseln und operative Vorsicht walten lassen. Oft kann man eine Infektion nicht verhindern, allerdings manchmal erkennen. Ein Warnsignal können stark erhöhter Akku- und Datenverbrauch oder Anomalien im Systemverhalten sein, etwa plötzliche Neustarts, unerklärliche Abstürze oder das kurzzeitige Aktivieren von Mikrofon, Kamera oder GPS ohne sichtbaren Grund.

Messaging-Stacks bleiben auch in Zukunft ein lohnendes Ziel. Es wird wahrscheinlich mehr Versuche geben, komplexe Datenformate, Container und Metadaten als Angriffsfläche zu nutzen. Gleichzeitig verbessert sich die Abwehr: Sicherere Parser-Designs, stärkere On-Device-Detektion und rechtliche bzw. regulatorische Maßnahmen gegen kommerzielle Exploit-Händler werden die Dynamik des Marktes verändern. Regierungen sind an dieser Stelle gefordert, die Cybersicherheit und -resilienz zu stärken und nicht etwa zu schwächen, indem sie selbst als Käufer für solche Exploits auf dem Markt agieren.

Abschließend ist klar: Technische Maßnahmen plus organisatorische Prozesse sind notwendig, um das Risiko nachhaltig zu senken. Penetrationstests sind dabei auf Hersteller- und Organisationsseite unerlässlich, um Schwachstellen rechtzeitig zu identifizieren und beheben zu können.

Zusätzlich gewinnen technische Schutzmechanismen auf Betriebssystemebene an Bedeutung. Apple setzt verstärkt auf Memory Integrity Enforcement, um Speicherfehler wie Use After Free oder Out-of-Bounds-Zugriffe systematisch zu erschweren und die Ausnutzbarkeit von Schwachstellen deutlich zu reduzieren. Auch im Android-Ökosystem wird mit der ARM Memory Tagging Extension eine hardwaregestützte Speicher-Tagging-Technik eingeführt, die Speicherfehler frühzeitig erkennt und Angriffsketten bricht. Solche Ansätze verschieben das Sicherheitsniveau strukturell nach oben, da sie ganze Klassen typischer Exploit-Techniken technisch unattraktiver machen.