Apple heeft drie onbekende beveiligingslekken in iOS gedicht die actief werden aangevallen voordat er een update beschikbaar was en waardoor aanvallers op afstand iOS-toestellen konden jailbreaken en van spyware voorzien. Dat meldt het Canadese Citizen Lab, een laboratorium van de universiteit van Toronto.

Het lab houdt zich bezig met mensenrechten en security. Samen met beveiligingsbedrijf Lookout heeft het de kwetsbaarheden ontdekt en geanalyseerd. Aanvallers stuurden op 10 augustus van dit jaar een sms naar de mensenrechtenactivist Ahmed Mansoor met daarin een link die naar een onbekende website. Deze website zou informatie over martelingen in gevangenissen in de Verenigde Arabische Emiraten bevatten. Mansoor, die in het verleden al eerder het doelwit van gerichte aanvallen is geweest, stuurde de sms echter door naar onderzoekers van Citizen Lab. De onderzoekers ontdekten dat de link naar een exploit-infrastructuur van de NSO Group wees, een in Israël gebaseerd bedrijf dat de Pegasus-spyware voor overheden ontwikkelt. Daarmee is het mogelijk om doelwitten te bespioneren.

Verder onderzoek wees uit dat de link die naar Mansoor was gestuurd op een website uitkwam die drie onbekende beveiligingslekken in iOS gebruikte en het mogelijk maakte om op afstand zijn toestel te jailbreaken en vervolgens spyware te installeren. De onderzoekers hadden de link op hun toestel geopend en zagen hoe erop hun iPhone 5 met iOS 9.3.3 zonder enige verdere interactie spyware werd geïnstalleerd. Daarmee hadden de aanvallers de mensenrechtenactivist via zijn microfoon en camera kunnen bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps kunnen afluisteren en onderscheppen, alsmede zijn locatie bepalen. De spyware schakelt verder de automatische updates van Apple uit en detecteert en verwijdert andere jailbreaks als die eventueel op het toestel aanwezig zijn.

De onderzoekers zeggen dat het voor het eerst is dat ze een iPhone-jailbreak die op afstand wordt uitgevoerd bij een gerichte aanval hebben aangetroffen. "Dit soort exploits zijn zeer bijzonder en kostbaar", aldus onderzoeker Bill Marczak. Na ontdekking van de kwetsbaarheden werd Apple op 15 augustus ingelicht, dat vervolgens vandaag de problemen met iOS 9.3.5 heeft opgelost. Gebruikers krijgen het advies deze update direct te installeren. Marczak stelt afsluitend in de analyse van de aanval op Mansoor dat hij hoopt dat andere onderzoekers dergelijke beveiligingslekken ook op verantwoorde wijze aan Apple en andere leveranciers zullen melden.