Der orangefarbene Punkt oben rechts im Display soll iPhones sicherer machen – ein visuelles Versprechen, das Apple seit iOS 14 gibt: Wer heimlich zuhört, wird erwischt. Nur leider hält sich kommerzielle Spyware nicht daran. Sicherheitsforscher von Jamf Threat Labs haben analysiert, wie die Überwachungssoftware Predator des umstrittenen Herstellers Intellexa/Cytrox genau diese Schutzfunktion aushebelt – und zwar so elegant, dass es kaum auffällt, wie Jamf Threat Labs berichtet.

Das Prinzip ist simpel und gemein zugleich. Predator klinkt sich in SpringBoard ein – das ist der iOS-Prozess, der die gesamte Benutzeroberfläche kontrolliert. Dort hängt sich die Malware an eine einzige interne Methode namens _handleNewDomainData:, die iOS immer dann aufruft, wenn sich der Status von Kamera oder Mikrofon ändert. Statt diese Statusmeldung weiterzuleiten, setzt Predator den self-Zeiger auf NULL. Was dann passiert, ist klassische Objective-C-Mechanik: Eine Nachricht an nil wird in Apples Programmiersprache stillschweigend ignoriert. SpringBoard erfährt nie, dass die Kamera läuft. Der grüne Punkt erscheint nicht. Der orangefarbene auch nicht.

Besonders pikant: Ein einziger Hook reicht aus, um beide Indikatoren – Kamera und Mikrofon – gleichzeitig zu unterdrücken. Das ist kein Zufallsprodukt, sondern das Ergebnis einer bewussten Designentscheidung. Im analysierten Code fanden die Forscher auch toten Code, der einen älteren, aufwändigeren Ansatz zeigt: Damals sollte direkt in den SBRecordingIndicatorManager eingegriffen werden, was zwei separate Hooks erfordert hätte. Irgendwann entschied man sich für die sauberere Variante – früher im Datenpfad ansetzen, weniger Angriffsfläche, weniger Auffälligkeit.

Was Predator kann – und was (noch) nicht

Die Spyware besteht aus mehreren Modulen. Neben dem Dot-Unterdrücker gibt es einen CameraEnabler, der über Pointer Authentication Code Bypasses Kamerazugriff erzwingt, und ein VoIP-Modul, das Gesprächsaudio direkt aus dem Audioverarbeitungs-Stack abgreift. Letzteres hat allerdings eine Schwachstelle aus Angreiferperspektive: Das VoIP-Modul bringt keine eigene Indikator-Unterdrückung mit. Wer also nur das VoIP-Modul aktiviert, ohne vorher HiddenDot zu starten, riskiert, dass der orangefarbene Punkt erscheint. Die Konstruktion setzt voraus, dass der Operator die Module in der richtigen Reihenfolge einsetzt.

Wichtig für die Einordnung: Predator braucht für all das bereits vollen Kernel-Zugriff auf dem Gerät. Die Analyse beschreibt kein neues iOS-Sicherheitsloch, das gepatcht werden müsste – sie dokumentiert, was Spyware nach einer erfolgreichen Kompromittierung mit bereits bekannten Mitteln tut. Die eigentlichen Einfallstore, über die Predator überhaupt erst auf Geräte gelangt, sind Zero-Day-Exploits, die separat eingekauft oder entwickelt werden.

Dass Intellexa und seine Produkte trotz US-Sanktionen weiter aktiv sind, hat Google Ende 2025 in einem eigenen Bericht dokumentiert. Predator ist kein Hobbyprodukt – es ist kommerziell, wird aktiv weiterentwickelt und richtet sich gegen Journalisten, Aktivisten und politische Zielpersonen. Die technische Eleganz des Angriffs macht das nicht besser, sondern beunruhigender: Wer sich auf den grünen Punkt verlässt, verlässt sich auf eine Garantie, die unter bestimmten Umständen nicht gilt.