iPhone Zero-Click-Exploits: Wie sie funktionieren und wie du dich schützen kannst

Zero-Click-Exploits auf dem iPhone zählen zu den gefährlichsten Angriffsformen in der digitalen Welt. Dabei genügt es bereits, dass Angreiferinnen deinem Gerät eine präparierte Nachricht oder Datei zukommen lassen – du musst nichts anklicken oder aktiv öffnen. „Zero-Click“ bedeutet also, dass keinerlei Interaktion erforderlich ist. Solche Angriffe sind äußerst komplex und richten sich vor allem gegen hochrangige Ziele wie Journalistinnen, Aktivist*innen oder Regierungsmitarbeitende. Apple selbst bezeichnet diese Attacken als „äußerst selten, aber hochentwickelt“ und hat dafür den Lockdown- bzw. Blockiermodus (auch „Extrem-Schutzmodus“ genannt) eingeführt.

In diesem Artikel schauen wir uns an, wie Zero-Click-Angriffe technisch ablaufen, welche Sicherheitsmaßnahmen Apple implementiert hat (und wie Angreifer sie umgehen), wer hinter dieser Art von Spyware steckt – allen voran die NSO Group – und schließlich, was du selbst tun kannst, um dein iPhone bestmöglich zu schützen.
 

Technischer Hintergrund: Wie entstehen Zero-Click-Exploits?

Damit ein Zero-Click-Angriff funktionieren kann, muss das Betriebssystem – oder ein Dienst wie iMessage – automatisch Daten verarbeiten, ohne dass Nutzer*innen eingreifen. Das geschieht beispielsweise, wenn dein iPhone eine neue Nachricht erhält und sofort versucht, den Anhang oder den Text zu analysieren, um eine Vorschau (z. B. Bildvorschau, Link-Vorschau) anzuzeigen.

• Parser und Memory Corruption
  iMessage, HomeKit, WhatsApp und andere Dienste verwenden sogenannte „Parser“, um Daten (Bilder, Videos, Dokumente) für die Darstellung aufzubereiten. Dabei passieren komplexe Speicherzugriffe, in denen sich Schwachstellen verstecken können. Gelingt es Angreiferinnen, den Parser durch präparierte Daten zum Überlaufen (Buffer Overflow, Integer Overflow etc.) oder durch andere Speicherfehler (Use-after-Free) zu bringen, kann schadhafter Code ins System gelangen. Mithilfe dieses ersten Zugriffes versuchen Angreiferinnen dann meist, aus der Sandbox auszubrechen und schließlich die volle Kontrolle über das Gerät zu erlangen.
• Automatische Verarbeitung
  iPhones sind darauf ausgelegt, Inhalte wie Bilder oder Links automatisch zu verarbeiten, um Nutzer*innen ein nahtloses Erlebnis zu bieten. Dieses „Vorschaurendern“ ermöglicht jedoch Exploits, wenn die eingehenden Daten manipuliert sind. Weil keinerlei Bestätigung erforderlich ist, spricht man von einem Zero-Click-Angriff.
• Logikfehler statt klassischem Exploit
  Manche Attacken basieren weniger auf Speicherfehlern als vielmehr auf sogenannten „Logikfehlern“. Hier werden legitime, aber fehlerhaft gestaltete Funktionen oder Abläufe in iOS missbraucht, um Sicherheitsmechanismen zu umgehen. Ein Beispiel sind HomeKit-Einladungen oder spezielle iMessage-Nachrichten, die das System so verarbeitet, wie es eigentlich nie vorgesehen war, was letztendlich ebenfalls zur unautorisierten Codeausführung führen kann.

Kurz gesagt: Eine Zero-Click-Lücke existiert, weil iOS diverse Inhalte vollautomatisch und tief ins System integriert verarbeitet. Wo komplexe Abläufe vorhanden sind, können Fehler entstehen – und die ermöglichen potenziell, dass Angreifer*innen ohne jede Interaktion Schadcode ausführen.
 

Technische Analyse bekannter Zero-Click-Angriffe auf iOS

Pegasus, Kismet und FORCEDENTRY: iMessage als Einfallstor

Die israelische NSO Group erlangte mit ihrer Spyware „Pegasus“ internationale Bekanntheit. Pegasus wird von staatlichen Stellen genutzt, um Smartphones auszuspionieren – oft ohne Wissen der Betroffenen.

• Kismet (2020)
  Zielte auf iPhones mit iOS 13.x und nutzte eine Schwachstelle in iMessage. Bereits das Senden einer speziell präparierten iMessage reichte aus, um ein Gerät zu kompromittieren. Apple schloss diese Lücke erst mit iOS 14, als neue Schutzmechanismen eingeführt wurden.
• FORCEDENTRY (2021)
  Umging die neu eingeführten Schutzfunktionen in iOS 14. Angreifer*innen verschickten eine vermeintlich harmlose GIF-Datei, die tatsächlich eine manipulierte PDF enthielt. Eine Schwachstelle in Apples Bildverarbeitungsbibliothek (CoreGraphics) wurde ausgenutzt, um die iMessage-Sandbox zu verlassen und beliebigen Code auszuführen. Bemerkenswert ist, dass FORCEDENTRY das Sicherheitsmodul „BlastDoor“ umging, indem ein Prozess (IMTranscoderAgent) angegriffen wurde, der zunächst nicht von BlastDoor geschützt war.
   

Angriffe jenseits von iMessage: HomeKit, Find My und mehr

• WhatsApp
  2019 wurde eine Schwachstelle in der WhatsApp-Videoanruffunktion bekannt, durch die Pegasus selbst dann installiert werden konnte, wenn das Opfer den Anruf nicht annahm. Dies zeigt, dass nicht nur Apples eigene Dienste betroffen sind.
• HomeKit und Find My
  Citizen Lab deckte 2022 mehrere Zero-Click-Ketten gegen iPhones mit iOS 15/16 auf. Bei „PWNYOURHOME“ lud der Angreifer das Opfer per HomeKit-Sharing ein und nutzte einen Fehler im HomeKit-Daemon, um das System zu kompromittieren. Anschließend folgte eine zweite Exploit-Stufe über iMessage. Apple patchte diese Lücken in iOS 16.3.1.
• FaceTime-Bug 2019
  Hier handelte es sich zwar nicht um Spyware, aber um einen gravierenden Logikfehler: Anrufer*innen konnten bereits das Mikrofon des oder der Angerufenen aktivieren, ohne dass ein Anruf angenommen wurde. Das Beispiel verdeutlicht, dass jede unerwartete Eingabe zum Einfallstor werden kann.
• Funk-Schnittstellen
  Ein Google-Forscher demonstrierte 2020, wie über das Apple-Funkprotokoll AWDL (AirDrop) iPhones in Reichweite ohne Nutzerinteraktion übernommen werden konnten. Die zugrunde liegende Lücke wurde später gepatcht.
   

Dateiformate und Techniken

Häufig tarnen sich Schaddateien als gewöhnliche Formate (z. B. PDF, GIF oder PassKit-Pakete), um Parser in die Irre zu führen. Viele Zero-Click-Angriffe setzen auf Memory-Corruption-Bugs (Buffer Overflow, Use-after-Free, Integer Overflow), um zunächst Code auszuführen, und ergänzen dies dann durch weitere Schwachstellen zum Ausbrechen aus der Sandbox (Privilege Escalation). Neuere Angriffe setzen vermehrt auch auf Logikfehler, die sich gängigen Speicher-Schutzmechanismen entziehen.
 

Apples Sicherheitsmaßnahmen gegen Zero-Click-Angriffe

1. Sandboxing und Rechtebeschränkung
   Jede App, einschließlich System-Apps wie iMessage, läuft in einer isolierten Umgebung. Wird ein Dienst gehackt, müssen Angreifer eine zusätzliche Schwachstelle ausnutzen, um auf das Gesamtsystem zugreifen zu können. FORCEDENTRY kombinierte daher auch mehrere Exploit-Schritte.
2. ASLR (Address Space Layout Randomization)
   Speicheradressen werden zufällig verteilt, sodass klassische Exploit-Techniken erschwert werden. Versierte Angreifer umgehen ASLR allerdings oft mit Informationslecks oder „Heap Grooming“.
3. Pointer Authentication (PAC)
   Seit dem A12-Chip signiert die Hardware sensible Zeiger mit einem geheimen Schlüssel. Manipulierte Zeiger lösen meist Abstürze statt Codeausführung aus. Logikfehler-Angriffe sind jedoch weitgehend immun gegen PAC.
4. BlastDoor
   In iOS 14 eingeführt, läuft BlastDoor als speziell gehärteter Sandbox-Prozess, der eingehende iMessage-Inhalte (Bilder, Links, Anhänge) isoliert verarbeitet. So soll ein Exploit nur BlastDoor kompromittieren, ohne Zugriff auf das restliche System zu erlangen. Dennoch zeigte FORCEDENTRY, dass ein ungeschützter Nebenprozess (IMTranscoderAgent) genutzt werden konnte, um BlastDoor zu umgehen. Apple verbessert BlastDoor fortlaufend.
5. Lockdown-Modus (Extrem-Schutzmodus)
   Ab iOS 16 verfügbar und für Nutzerinnen gedacht, die mit extrem hohem Risiko konfrontiert sind. Der Lockdown-Modus (auch Blockiermodus) unterbindet viele potenzielle Einfallstore, z. B. komplexe Nachrichtentypen, Link-Vorschauen, HomeKit-Einladungen oder FaceTime-Anrufe von Unbekannten. Citizen Lab bestätigte, dass manche NSO-Angriffe am Lockdown-Modus scheiterten. Für den Großteil der Nutzer ist dieser Modus allerdings mit zu vielen Einschränkungen verbunden und daher optional.

Trotz dieser Maßnahmen entdecken Angreifer immer neue Lücken in Diensten oder Protokollen, die noch nicht vollständig durch BlastDoor und Co. geschützt sind. Es bleibt ein ständiges Wettrennen zwischen Apple und professionellen Exploit-Entwicklern.
 

NSO Group und Co.: Wer steckt hinter solchen Angriffen?

Die Entwicklung teurer Zero-Click-Exploits erfolgt meist durch spezialisierte Firmen, die diese Angriffe als „Hacking-as-a-Service“ an staatliche Kunden verkaufen. Beispiele:

• NSO Group (Israel)
  Bekannt für die Spyware Pegasus, die offiziell zur Terrorismusbekämpfung dient, aber nachweislich gegen Journalistinnen, Oppositionelle und Menschenrechtsanwältinnen eingesetzt wurde.
• Candiru (Israel)
  Entwickler der Spyware „DevilsTongue“, 2021 von Microsoft enttarnt und gemeinsam mit NSO in den USA sanktioniert.
• Cytrox/Intellexa (Europa/Israel)
  Hersteller der Predator-Spyware. Nach Missbrauchsvorwürfen in Griechenland folgten ebenfalls US-Sanktionen.
• QuaDream (Israel)
  Eine kleinere Firma, gegründet von ehemaligen NSO-Mitarbeitenden, die 2023 durch Microsoft und Citizen Lab enttarnt wurde („Reign“).
• FinFisher (Deutschland/UK) und Hacking Team (Italien)
  Ehemalige große Player, durch Skandale und Razzien stark geschwächt oder aufgelöst.

Angesichts immer neuer Fälle, in denen staatliche Spyware für Menschenrechtsverletzungen missbraucht wurde, wächst weltweit der Druck auf diese „Söldner-Spyware“-Branche. Die USA setzten einige Firmen auf eine schwarze Liste und verhängten Sanktionen. Apple klagte 2021 gegen NSO, zog die Klage jedoch 2024 wieder zurück. In der EU beleuchtete der Untersuchungsausschuss „PEGA“ den Pegasus-Skandal. Ein vollständiges Verbot solcher Technologien ist bisher jedoch nicht durchgesetzt.
 

Wie du dich schützen kannst

Obwohl Zero-Click-Angriffe sehr gefährlich sind, betreffen sie nur wenige, gezielt ausgewählte Personen. Wer in Politik, Journalismus, Aktivismus oder ähnlichen Risikobereichen tätig ist, sollte jedoch besonders achtgeben:

1. iOS aktuell halten
   Installiere Updates so schnell wie möglich, da viele Zero-Click-Angriffe auch bereits bekannte, aber ungepatchte Lücken ausnutzen.
2. Lockdown- bzw. Blockiermodus einschalten (bei hohem Risiko)
   Wer stark gefährdet ist, kann den Lockdown-Modus unter iOS 16+ aktivieren. Dieser blockiert viele Angriffspfade, schränkt allerdings auch einige Funktionen ein.
3. Vorsicht bei Nachrichten unbekannter Absender
   Auch wenn Zero-Click-Angriffe keine Aktion erfordern, ist es ratsam, generell misstrauisch mit unerwarteten Anhängen, Einladungen oder Nachrichten umzugehen.
4. Unbenutzte Dienste deaktivieren
   Wer kein HomeKit nutzt, kann diesen Dienst ausschalten. Gleiches gilt für FaceTime oder iMessage, sofern du sie wirklich nicht benötigst. Eine kleinere Angriffsfläche erschwert Angriffe.
5. Alternative Messenger und Konfiguration
   iMessage gilt zwar als sicher, war aber Hauptziel vieler Angriffe. Andere Messenger (z. B. Signal, Threema, Session) waren seltener betroffen. Deaktiviere zudem, wo möglich, Link-Vorschauen und automatisches Herunterladen von Medien.
6. Keine fremden Profile oder Zertifikate installieren
   Bleibe beim offiziellen App Store. Dubiose Konfigurationsprofile oder Unternehmenszertifikate können Schutzmechanismen umgehen.
7. Geräteverhalten beobachten
   Achte auf häufige Abstürze, extrem kurze Akkulaufzeit oder Warnmeldungen seitens Apple. Bei ernstem Verdacht lohnt sich ein forensischer Check, z. B. mit dem Mobile Verification Toolkit (MVT).
8. Physische Sicherheit und Social Engineering
   Sichere dein Gerät mit einem starken Code, lass es nicht unbeaufsichtigt liegen und sei wachsam bei Phishing-Nachrichten. Nicht jeder Angriff erfolgt rein technisch – soziale Tricks oder direkter Zugriff bleiben gefährlich.
    

Fazit

Zero-Click-Exploits klingen wie aus einem Spionage-Thriller – und ihre technische Raffinesse ist tatsächlich beeindruckend. Gleichzeitig sind sie für Betroffene extrem bedrohlich, weil sie keinerlei Aktion voraussetzen. Apple hat mit Sandboxing, Pointer Authentication, BlastDoor und dem Lockdown-Modus bereits viele Schutzmechanismen geschaffen, doch gut finanzierte Unternehmen wie die NSO Group finden immer wieder neue Lücken.

Sicherheit ist ein Prozess, kein Zustand: Halte dein iPhone aktuell, passe deine Einstellungen an und aktiviere den Lockdown-Modus, wenn du zu einer besonders gefährdeten Personengruppe gehörst. Die meisten Nutzer werden nie direkt mit Zero-Click-Angriffen konfrontiert, profitieren aber indirekt von Apples ständigen Sicherheitsupdates. Dennoch bleibt ein gesundes Maß an Wachsamkeit der beste Schutz in einer Welt, in der hochprofessionelle Angriffe leider Realität sind.
 

Quellen und weiterführende Links

Citizen Lab – NSO Group BLASTPASS Exploit (2023):
https://citizenlab.ca/2023/09/nso-iphone-zero-click-exploit-blastpass/

Apple Sicherheitsupdate iOS 16.6.1:
https://support.apple.com/en-us/HT213905

Apple Lockdown-Modus (FAQ):
https://support.apple.com/de-de/HT212650

Google Project Zero Analyse FORCEDENTRY:
https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html

WhatsApp NSO Angriff (Facebook-Klage):
https://about.fb.com/news/2019/10/whatsapp-nso-lawsuit/

Pegasus Project – Forbidden Stories:
https://forbiddenstories.org/pegasus-project/

EU-Untersuchungsausschuss PEGA:
https://www.europarl.europa.eu/committees/en/pega/home/highlights

US-Sanktionen gegen NSO & Intellexa:
https://home.treasury.gov/news/press-releases/jy1767

NSO Group (Wikipedia):
https://en.wikipedia.org/wiki/NSO_Group

Amnesty Tech – Mobile Verification Toolkit (MVT):
https://github.com/mvt-project/mvt

Apple Developer: BlastDoor-Architektur (Video):
https://developer.apple.com/videos/play/wwdc2021/10078/

Ian Beer (Google): iPhone AWDL Wireless Exploit:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html

Microsoft über QuaDream:
https://www.microsoft.com/en-us/security/blog/2023/04/11/devils-tongue-analyzing-quadreams-spyware/

Lockdown-Mode Fallstudie (Predator in Griechenland):
https://citizenlab.ca/2022/12/predator-invisible-greece-targeted-surveillance/