Die US-Behörden haben gemeinsam mit dem FBI Warnungen vor Spyware-Angriffen auf den Messenger-Dienst iMessage herausgegeben. Die Cybersecurity and Infrastructure Security Agency (CISA) rät iPhone- und Android-Nutzern, ausschließlich Ende-zu-Ende-verschlüsselte Kommunikation zu nutzen.
CISA und das FBI veröffentlichten am Montag eine Warnung als Reaktion auf mehrere größere Hackerangriffe auf die Social-Media-Plattformen WhatsApp und Signal, bei denen private Nachrichten und Telefongespräche mehrerer Amerikaner infiltriert wurden.
Die Warnung der CISA bezieht sich jedoch auf Apples Nachrichtensystem iMessage, den Standard-SMS-Client für iPhone-Nutzer. iMessage selbst bietet eine Ende-zu-Ende-Verschlüsselung zwischen Apple-Geräten, aber an Android-Telefone gesendete Nachrichten werden als Standard-SMS übertragen, die nicht vollständig verschlüsselt ist.
iMessage-Nachrichten an Android-Geräte sind unverschlüsselt und daher anfällig für Datendiebstahl.
iPhone-Nutzer in den USA bevorzugen angeblich iMessage gegenüber anderen verschlüsselten Messenger-Apps wie WhatsApp. Laut einem Bericht von Mitte 2024 besitzen mehr als die Hälfte aller Smartphone-Besitzer in den USA ein iPhone, und 26 % dieser Nutzer verwenden iMessage. Meta-CEO Mark Zuckerberg sieht iMessage als größten Konkurrenten seines Dienstes auf dem US-Markt.
Android-Handys verfügen über das RCS-Protokoll, das Google auf Ende-zu-Ende-Verschlüsselung getestet hat, Apple hat jedoch noch nicht bestätigt, wann es ähnliche Schutzmaßnahmen implementieren wird.
iMessage ist eine Benutzeroberfläche und der einzige SMS-Client auf dem iPhone, den das US-Justizministerium in seinem Bericht über Apples abgeschottetes Ökosystem scharf kritisierte. Laut Justizministerium wären aufgrund fehlender Alternativen alle iPhone-Besitzer im Falle eines Angriffs auf das Nachrichtensystem schutzlos ausgeliefert.
„Dies ist unsere wichtigste Empfehlung“, so CISA, auch angesichts neuer Spyware-Angriffe auf Signal und WhatsApp. „Verwenden Sie keine Textnachrichten zwischen iPhones und Android-Geräten. Diese sind nicht vollständig verschlüsselt.“
Im vergangenen Jahr gaben das FBI und die CISA eine ähnliche Warnung heraus, und zwar wegen Salt Typhoon, einer chinesischen, staatlich verbundenen Cyberoperation, bei der erfolgreich private Gespräche und Texte abgefangen wurden.
Wie die Washington Post berichtete, bezeichnete Senator Mark Warner, Vorsitzender des Geheimdienstausschusses des Senats, den Vorfall als den „schlimmsten Telekommunikations-Hack in der Geschichte der USA“.
„Wir sind der Telekommunikationsvorzeigekonzern der Welt. Ich will diese Innovation nicht bremsen. Ich will keine neuen, übertriebenen Regulierungen einführen. Es sollte hier einzig und allein um Sicherheit gehen“, sagte der Senator gegenüber WP.
Das FBI und andere Cybersicherheitsbehörden riefen die Amerikaner dazu auf, auf herkömmliche SMS zu verzichten und stattdessen Signal oder WhatsApp zu nutzen, um ihre Kommunikation vor ausländischen Hackern zu schützen.
„Unsere Empfehlung, die wir intern bereits ausgesprochen haben, ist nicht neu: Verschlüsselung ist unerlässlich, sei es bei Textnachrichten oder verschlüsselter Sprachkommunikation. Selbst wenn es Angreifern gelingt, die Daten abzufangen, sind sie aufgrund der Verschlüsselung unlesbar“, so Jeff Greene, stellvertretender Direktor für Cybersicherheit bei CISA.
WhatsApp und Android-Geräte sind ebenfalls Sicherheitslücken ausgesetzt.
Abgesehen von Apples Problemen berichtete Cryptopolitan deckten eine Schwachstelle in der WhatsApp-Registrierungsfunktion auf, die es ihnen ermöglichte, innerhalb von nur 30 Minuten 30 Millionen US-Telefonnummern zu sammeln.
Im Rahmen ihrer Forschung griffen sie auf die Daten von 3,5 Milliarden Nutzern weltweit zu. Etwa 57 % dieser Nutzer hatten öffentliche Profilbilder, und die Forscher konnten bei 29 % der Konten den Profiltext einsehen.
berichtete das Cybersicherheitsunternehmen Unit 42 über eine Spyware-Kampagne auf Samsung Galaxy-Geräten mit dem Namen LANDFALL. Diese nutzt eine Zero-Day-Schwachstelle in Samsungs Bildverarbeitungsbibliothek libimagecodec.quram.so (CVE-2025-21042), um über per WhatsApp versendete Bilder in die Geräte einzudringen.
Laut Unit 42 ist die Schadsoftware seit Mitte 2024 aktiv und ermöglicht Angreifern die vollständige Überwachung von Geräten ohne Benutzerinteraktion. Die Android-Schadsoftware wurde auch in iOS-Bildbeispielen, genauer gesagt in digitalen Negativdateien (DNG-Dateien), versteckt gefunden.
Mehrere in den Ergebnissen von Unit42 zitierte Nutzer berichteten, Dateinamen gesehen zu haben, die als WhatsApp-Uploads gekennzeichnet waren, wie zum Beispiel „IMG-20240723-WA0000.jpg“, die zu Orten wie Marokko, Iran, Irak und der Türkei zwischen Juli 2024 und Anfang 2025 tracwerden konnten.
Eine weitere Schwachstelle, CVE-2025-12725, ein Schreibfehler außerhalb des zulässigen Speicherbereichs in der Grafikverarbeitungskomponente WebGPU von Google Chrome, wurde ebenfalls in Verbindung mit LANDFALL ausgenutzt.
