Cybersicherheit | Angriffsvektoren
Das Cyberrisiko steigt stetig an. Inzwischen sind Cyberangriffe so ausgefeilt, dass Benutzer zum Opfer werden ohne selbst aktiv geworden zu sein oder einen Fehler gemacht zu haben.
Was eher nach Methoden aus einem Spionage-Thriller klingt, ist aber Realität. Erst letzte Woche wurde bekannt, dass es gelungen ist, die Überwachungssoftware Pegasus auf iPhones einzuschleusen – ohne das Zutun der Benutzer. Als Einstiegstor dienten Zero-Day-Sicherheitslücken in der iMessage Software. Doch was genau steckt hinter Zero Click-Angriffen? In unserem aktuellen Blogbeitrag geben wir Auskunft.
Bereits seit 2016 ist die Spyware Pegasus bekannt. Sie wurden von dem israelischen Unternehmen NSO Group entwickelt und dient dem Ausspähen von Android und iOS Geräten. Die Software erlaubt es, dass unbemerkt auf Daten zugegriffen und diese über das Internet versandt werden können. Der Einsatz von Pegasus ist durchaus umstritten. Bereits 2019 fiel das Unternehmen mit Negativschlagzeilen auf. Damals wurden circa 1.400 Menschenrechtsaktivisten, Journalisten und Politiker mit Whatsapp-Spähangriffen überwacht. Laut WhatsApp-Chef Cathcart seien diese Angriffe auch damals mit Hilfe der Software Pegasus durchgeführt worden. Nun steht die Spyware erneut im Fokus. Dieses Mal kommt allerdings erschwerend hinzu, dass Pegasus ganz ohne menschliche Aktivität auf die Geräte eingeschleust werden kann. Mit sogenannten Zero-Click Angriffen.
Diese Art von Angriffen birgt eine ganze Reihe neuer Risiken. Monika Bubela, Cyber Threat Intelligence Analyst bei Perseus, fasst die Gefährdungslage folgendermaßen zusammen:
“Die größte Bedrohung bei Zero Click-Angriffen besteht darin, dass sie keine Aktion des Opfers erfordern. Es gibt keinen verdächtigen Link oder eine verdächtige Nachricht, auf die das Opfer klicken müsste.”
Somit können Systeme ganz ohne menschliche Interaktion kompromittiert werden. Allein der Erhalt einer manipulierten Nachricht kann beispielsweise ausreichen, um Angreifern die Übernahme von Smartphones zu ermöglichen. Selbst ein sehr aufmerksamer Benutzer mit einem gut gepatchten und aktualisierten System kann so leicht zum Opfer werden.
Für Zero Click-Angriffe nutzen Cyberkriminelle Sicherheitslücken und Schwachstellen aus, die sie im Betriebssystem von Mobilgeräten oder in den auf dem Gerät installierten Apps finden.
Besonders interessant sind dabei sogenannte Zero-Day-Schwachstellen. Das sind Sicherheitslücken, die dem Hersteller der Software noch nicht bekannt sind und daher noch nicht entschärft bzw. gepatcht wurden.
Achtung! Erst mit der Installation der bereitgestellten Sicherheitsupdates und -patches, werden diese Sicherheitslücken auf dem eigenen Gerät geschlossen und eine aktive Ausnutzung der Schwachstellen durch Cyberkriminelle abgewehrt.
(Anm. d. Red. Im Zusammenhang mit der Pegasus Spyware geben Experten noch keine Entwarnung, dass ein Update auf das aktuelle Betriebssystem iOS 14.7. eine Zero Click-Verbreitung unterbindet.)
Für Experten:
Wie Cyberkriminelle letztlich mobile Endgeräte übernehmen können, erklärt Monika Bubela im Detail:
“Die Malware selbst ‘jailbreakt’ ein iOS-Gerät ohne das Wissen des Benutzers.” In der Informations- sicherheit beschreibt ein ‘Jailbreak’ die unbefugte Aufhebung von Nutzungsbeschränkungen bei Computern oder anderen mobilen Endgeräten. Das heißt, dass bestimmte Funktionen, die der Hersteller standardmäßig gesperrt hat, nun verfügbar sind.
“Für den oben genannten Zero Click-Angriff von Pegasus auf iOS Geräte bedeutet es, dass ein unautorisierter Dritter den Root-Zugriff für das iOS Gerät erhält. Dadurch ist Apple nicht mehr die einzige Quelle für Apps, so dass ein Angreifer nicht von Apple überprüfte Anwendungen auf das Gerät des Opfers herunterladen kann. Auch Android-Geräte sind anfällig. Google ist sich dessen bewusst und versucht, Patches für die bekannte Malware wie Pegasus bereitzustellen.”
Was können Sie tun?
Im Berufsalltag werden Sie mit Zero Click-Angriffen wahrscheinlich nicht in Berührung kommen – zumindest noch nicht. Die Entwicklung der letzten Jahre zeigt aber, dass Angriffe durch Cyberkriminelle immer komplexer werden. Es kann also sein, dass man sich früher oder später mit Zero Click-Angriffen intensiver auseinandersetzen muss.
In dem Fall können Zero Click-Angriffe, wie bereits erläutert, selbst sehr aufmerksame Nutzer betreffen. Ein vollständiger Schutz ist daher kaum möglich, dennoch möchten wir auf wichtige Schutzmaßnahmen hinweisen:
Cyber security | Attack vectors
Cyber risk is constantly increasing. Cyber attacks have become so sophisticated that users can fall victim without having taken any action themselves or made any mistakes.
What sounds more like something out of a spy thriller is actually reality. Just last week, it was revealed that the Pegasus surveillance software had been successfully installed on iPhones – without the users‘ knowledge. Zero-day security vulnerabilities in the iMessage software served as the entry point. But what exactly is behind zero-click attacks? We provide information on this in our latest blog post.
Pegasus spyware has been around since 2016. It was developed by the Israeli company NSO Group and is used to spy on Android and iOS devices. The software allows data to be accessed unnoticed and sent over the internet. The use of Pegasus is highly controversial. The company already made negative headlines in 2019. At that time, approximately 1,400 human rights activists, journalists and politicians were monitored using WhatsApp spy attacks. According to WhatsApp CEO Cathcart, these attacks were also carried out with the help of Pegasus software at the time. Now the spyware is back in the spotlight. This time, however, the situation is exacerbated by the fact that Pegasus can be infiltrated into devices without any human activity. With so-called zero-click attacks.
This type of attack poses a whole range of new risks. Monika Bubela, Cyber Threat Intelligence Analyst at Perseus, summarises the threat situation as follows:
‘The biggest threat with zero-click attacks is that they don’t require any action on the part of the victim. There is no suspicious link or message that the victim has to click on.’
This means that systems can be compromised without any human interaction. Simply receiving a manipulated message can be enough to enable attackers to take over smartphones, for example. Even a very attentive user with a well-patched and updated system can easily fall victim to this.
For zero-click attacks, cybercriminals exploit security gaps and vulnerabilities that they find in the operating system of mobile devices or in the apps installed on the device.
So-called zero-day vulnerabilities are particularly interesting. These are security gaps that are not yet known to the software manufacturer and have therefore not yet been defused or patched.
Attention! Only by installing the security updates and patches provided can these security gaps on your own device be closed and active exploitation of the vulnerabilities by cybercriminals be prevented.
(Editor’s note: In connection with the Pegasus spyware, experts are not yet giving the all-clear that an update to the current iOS 14.7 operating system will prevent zero-click distribution.)
For experts:
Monika Bubela explains in detail how cybercriminals can ultimately take over mobile devices:
‘The malware itself “jailbreaks” an iOS device without the user’s knowledge.’ In information security, a “jailbreak” describes the unauthorised removal of usage restrictions on computers or other mobile devices. This means that certain functions that the manufacturer has blocked by default are now available.
„For the above-mentioned zero-click attack by Pegasus on iOS devices, this means that an unauthorised third party gains root access to the iOS device. As a result, Apple is no longer the only source of apps, allowing an attacker to download applications that have not been verified by Apple onto the victim’s device. Android devices are also vulnerable. Google is aware of this and is trying to provide patches for known malware such as Pegasus.“
In this case, zero-click attacks, as already explained, can affect even very attentive users. Complete protection is therefore hardly possible, but we would still like to point out some important protective measures:
Kontaktieren Sie uns.
Unser Team ist für Sie da!
Telefon: +49 30 95 999 8080
E-Mail: info@perseus.de
© 2025 Perseus Technologies GmbH. All rights reserved
