Neue Apple-Schwachstelle ermöglichte Zero-Click-Überwachung via iMessage
Wie jetzt erst bekannt wurde, hat bereits im Februar dieses Jahres ein hochkritischer Zero-Day in Apples iMessage-App Journalisten mit staatlich eingesetzter Spionagesoftware überwacht – ohne Klick, ohne Vorwarnung, ohne sichtbare Spuren. Die Angriffsserie zeigt: Selbst hochgesicherte Plattformen sind nicht immun gegen raffinierte Überwachungstools privater Anbieter.
Apple hat Mitte Februar 2025 ohne großes Aufheben eine gravierende Schwachstelle in seiner Nachrichten-App im Rahmen der folgenden Updates geschlossen: iOS 18.3.1, iPadOS 18.3.1, iPadOS 17.7.5, macOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, watchOS 11.3.1 und visionOS 2.3.1. Die Schwachstelle ermöglichte es Angreifern, zielgerichtete Angriffe auf Geräte von Journalisten durchzuführen – ohne dass diese etwas anklicken oder öffnen mussten. Sie wurde bereits aktiv ausgenutzt, wie Apple in einem Security Advisory bestätigt.
Unsichtbare Bedrohung: Zero-Click über iCloud-Links
Die Schwachstelle betraf die Verarbeitung von Fotos und Videos, die über iCloud-Links geteilt wurden. Aufgrund eines Logikfehlers konnten speziell manipulierte Medieninhalte eine Ausführung schädlicher Prozesse auf den Geräten der Opfer auslösen – völlig ohne Interaktion. Solche Zero-Click-Exploits gelten als die gefährlichste Klasse von Schwachstellen, weil sie in der Regel nicht vom Nutzer entdeckt oder verhindert werden können.
Apple erklärte, das Problem sei durch „verbesserte Prüfmechanismen“ behoben worden – ohne nähere technische Details zu nennen. Ebenfalls wurde im gleichen Update ein weiterer aktiv ausgenutzter Zero-Day (CVE-2025-24200) adressiert, über den bisher keine Informationen veröffentlicht wurden. Die späte Offenlegung der Vorfälle lässt auf eine besonders sensible Bedrohungslage schließen.
Angriffsziel: Journalisten unter staatlicher Beobachtung
Die kanadische Forschungsgruppe Citizen Lab konnte den Exploit forensisch rekonstruieren und nachweisen, dass er zum Angriff auf zwei europäische Journalisten verwendet wurde – darunter Ciro Pellegrino aus Italien sowie ein weiterer, namentlich zunächst nicht genannter Journalist mit hoher öffentlicher Bekanntheit. Beide wurden am 29. April 2025 von Apple darüber informiert, dass sie Ziel einer staatlich vermuteten Spionagekampagne waren.
Zum Einsatz kam dabei die Spionagesoftware Graphite, entwickelt vom israelischen Unternehmen Paragon, einem sogenannten „Private Sector Offensive Actor“ (PSOA). Graphite wird typischerweise von staatlichen Stellen eingesetzt und erlaubt unter anderem den Zugriff auf:
- Nachrichten- und E-Mail-Inhalte
- Kamera und Mikrofon
- Standortdaten in Echtzeit
- Dateisystem und Kontakte
Besonders heimtückisch: Der Angriff war vollständig unsichtbar für die Betroffenen, selbst rückblickend ließen sich auf betroffenen Geräten keinerlei Hinweise auf verdächtige Aktivitäten finden – außer eben durch tiefgehende forensische Analyse.
Technische Spionage auf Knopfdruck: Was Graphite so gefährlich macht
Graphite gehört zur neuen Generation staatlich lizensierter Überwachungssoftware, ähnlich wie Pegasus von NSO Group. Es erlaubt feingranulare, dauerhafte Überwachung, selbst auf modernen, gehärteten Smartphones mit den neuesten Betriebssystemversionen.
Die Citizen-Lab-Forscher Bill Marczak und John Scott-Railton berichten, dass die Angriffe im Januar und Februar 2025 erfolgten – zu einem Zeitpunkt, als die betroffenen Geräte noch mit iOS 18.2.1 betrieben wurden. Damit ist klar: Die Sicherheitslücke war nicht nur theoretisch vorhanden, sondern wurde in der Praxis für gezielte Überwachung eingesetzt – vermutlich durch staatliche Kunden von Paragon.
Besonders auffällig: Beide Angriffsversuche gingen von derselben Apple-ID („ATTACKER1“) aus, was darauf hindeutet, dass ein einzelner Akteur – oder zumindest ein gemeinsames Toolset – für die gezielte Überwachung eingesetzt wurde.
Staatliche Akteure, private Werkzeuge – ein gefährlicher Trend
Mit Graphite rückt erneut die Problematik von kommerzieller Überwachungssoftware im Auftrag staatlicher Stellen ins Zentrum. Diese Software wird von privatwirtschaftlichen Firmen entwickelt, durch staatliche Stellen genutzt und oft in geheimen Operationen gegen Oppositionelle, Aktivistinnen und Journalisten eingesetzt – unter dem Deckmantel nationaler Sicherheit.
Die CVE-2025-43200-Schwachstelle unterstreicht auf dramatische Weise, dass Zero-Click-Angriffe keine theoretische Bedrohung sind. Sie existieren, sie werden gehandelt, und sie werden gezielt eingesetzt – gegen Menschen, deren Schutz besonders sensibel ist: Journalisten, Menschenrechtsaktivisten, zivilgesellschaftliche Akteure.
Die zunehmende Professionalisierung von Überwachungssoftware, gepaart mit staatlichem Interesse und schwacher Regulierung, macht diese Form der Cyberüberwachung zu einer der größten Bedrohungen digitaler Grundrechte weltweit.
Neue Dynamik in Europas Überwachungsdebatte
Die Enthüllung um die Zero-Click-Sicherheitslücke in Apples iMessage ist kein Einzelfall – sie ist Teil eines eskalierenden Überwachungsskandals um die Graphite-Spyware. Neue Informationen deuten auf eine wachsende Zahl betroffener Journalisten hin – und werfen ein grelles Licht auf die fehlende Transparenz staatlich legitimierter Überwachung.
Nachdem Ciro Pellegrino als Ziel von Angriffen auf identifiziert worden war, bestätigte WhatsApp im Januar, dass auch sein Kollege Francesco Cancellato weltweit zu einem von mehreren Dutzend Opfern zählt– unter anderem weitere Journalisten in Europa. Inzwischen ist öffentlich von mindestens sieben identifizierten Zielpersonen die Rede – der tatsächliche Umfang bleibt unklar.
Paragon kündigt Verträge mit Italien – Regierung wiegelt ab
Paragon als Hersteller der Graphite-Spyware geriet zuletzt weiter unter Druck. In einer Stellungnahme gegenüber der israelischen Zeitung Haaretz erklärte das Unternehmen, es habe seine Verträge mit Italien beendet, weil die Regierung eine unabhängige Überprüfung verweigerte, ob gegen den Journalisten Cancellato illegal vorgegangen wurde. Italien bezeichnete die Entscheidung dagegen als „gegenseitige Einigung“ und lehnte die Überprüfung unter Verweis auf nationale Sicherheitsinteressen ab.
Ein Bericht des italienischen Parlamentsausschusses COPASIRbestätigte inzwischen den rechtmäßigen Einsatz von Graphite durch die italienischen Inlands- und Auslandsgeheimdienste – allerdings nur gegen eine „begrenzte Anzahl von Personen“. Cancellatos Name tauchte in dieser Liste nicht auf. Das wirft neue Fragen auf: Wer hat den Angriff durchgeführt – und in wessen Auftrag?
Infrastruktur und Kontrolldefizite: Wie Graphite operiert
Laut COPASIR erfolgt der Einsatz von Graphite stets durch einen registrierten Operator mit Login und Passwort. Die Aktivität wird auf einem serverseitigen Log-System protokolliert – allerdings liegt die Kontrolle allein beim Kunden, nicht bei Paragon. Damit fehlt jegliche externe Transparenz.
Citizen Lab kritisiert: „Diese strukturelle Intransparenz zeigt, wie machtlos selbst in Europa tätige Journalistinnen und Journalisten gegen digitale Überwachung sein können – und wie dringend klare Regeln für den Umgang mit kommerzieller Spyware gebraucht werden.“
Druck auf EU wächst: Forderungen nach Regulierung werden lauter
Die Europäische Union hatte bereits in der Vergangenheit Bedenken zum Missbrauch kommerzieller Überwachungstools geäußert und Exportkontrollen sowie gesetzliche Schutzmechanismen gefordert. Fälle wie Graphite – oder zuvor Pegasus – könnten den Reformdruck deutlich erhöhen. Pegasus ist eine hochentwickelte Spionagesoftware mit militärischem Ursprung, die von der israelischen Firma NSO Group entwickelt wurde. Sie kann Smartphones mit Android und iOS kompromittieren und diese in umfassende Überwachungswerkzeuge verwandeln – inklusive Zugriff auf sensible Daten, Abhören von Gesprächen und Verfolgung von Bewegungsprofilen.
Kernprobleme sind:
- Fehlende transnationale Aufsicht
- Unklare Verantwortlichkeiten bei grenzüberschreitendem Missbrauch
- Systematisch erschwerte Nachvollziehbarkeit durch technische und juristische Verschleierung
Apples Threat Notification System, das erstmals 2021 eingeführt wurde, konnte im Fall von Pellegrino und Cancellato immerhin warnen. Doch das Verfahren ist keineswegs zuverlässig. Apple selbst weist darauf hin, dass Warnungen nicht zwingend eine aktive Infektion belegen, sondern lediglich auf verdächtige Aktivitäten hinweisen, die auf gezielte Angriffe hindeuten.
Neues Kapitel: Predator kehrt zurück
Parallel zur Graphite-Enthüllung meldet das Threat-Intelligence-Team von Recorded Future eine Rückkehr der berüchtigten Spyware Predator, die mit dem Intellexa/Cytrox-Konsortium in Verbindung steht – einem weiteren israelischen Anbieter offensiver Cybertools. Nur wenige Monate zuvor hatte die US-Regierung mehrere Personen der Gruppe sanktioniert.
Beobachtet wurden neue Infrastrukturen, darunter sogenannte Tier-1-Server für Opferkommunikation, sowie neue Kunden – unter anderem in Mosambik. Insgesamt ist Predator laut Insikt Group aktuell in mehr als einem Dutzend Ländern aktiv, darunter Angola, Botswana, Demokratische Republik Kongo, Ägypten, Indonesien, Oman, Saudi-Arabien, Armenien, Kasachstan, Mongolei, Mosambik, Philippinen, Trinidad und Tobago.
Mehr als die Hälfte der aktiven Kundenbasis soll sich in afrikanischen Staaten befinden. Dies spiegelt vermutlich die wachsende Nachfrage nach Spionagesoftware wider – insbesondere in Ländern mit Exportbeschränkungen. Hinzu kommen fortlaufende technische Weiterentwicklungen als Reaktion auf öffentliche Enthüllungen und Sicherheitsmaßnahmen, sowie zunehmend komplexe Firmenstrukturen, die darauf ausgelegt sind, Sanktionen zu umgehen und eine eindeutige Zuordnung zu erschweren.
Spionagesoftware ist außer Kontrolle geraten – und die Regulierung hinkt hinterher
Die parallelen Entwicklungen rund um Graphite und Predator machen deutlich: Kommerzielle Überwachungstechnologie ist zu einem unregulierten Machtfaktor geworden. Ob in Europa oder weltweit – Journalisten, Aktivisten und andere Zielpersonen stehen immer häufiger im Fadenkreuz, ohne sich verteidigen zu können. Was fehlt, sind:
- Internationale Transparenzpflichten für Anbieter
- Verpflichtende Offenlegung bei staatlicher Nutzung
- Grenzüberschreitende Sanktionen bei Missbrauch
- Technische Schutzmaßnahmen auf Plattformebene
Die späte aktuelle Enthüllung reiht sich ein in eine wachsende Liste digitaler Angriffe auf die Pressefreiheit – und zeigt: Datenschutz, IT-Sicherheit und Menschenrechte sind längst untrennbar miteinander verknüpft. Will Europa seine demokratischen Grundwerte auch im digitalen Raum verteidigen, braucht es jetzt entschlossene politische und regulatorische Schritte – bevor die technische Realität endgültig außer Kontrolle gerät.