Netzpolitik
26.08.2016

Pegasus: Apple drängt wegen iPhone-Spyware auf iOS-Update

Sicherheitsforscher haben drei schwere Sicherheitslücken entdeckt, die eine israelische Software nutzte, um gezielt Journalisten und Aktivisten auszuspähen.

Eine neu entdeckte Spionage-Software hat sich einen bisher noch nie gesehenen Zugriff auf iPhones und andere Apple-Geräte verschaffen können. Der IT-Sicherheitsfirma Lookout zufolge konnte das Programm dank drei bisher unbekannten Software-Schwachstellen unter anderem Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers verfolgen. Nach Erkenntnissen von Experten wurde das Programm auch gegen Menschenrechtler und Journalisten eingesetzt.

Apple stopfte die Sicherheitslücken im iPhone-System iOS am Donnerstag - rund zwei Wochen nach dem ersten Verdacht. "Wir raten all unseren Kunden dazu, die letzte Version von iOS zu nutzen, um gegen mögliche Sicherheitslücken geschützt zu sein", so Fred Sainz, ein Apple-Sprecher, gegenüber der New York Times. iOS 9.3.5 soll die entdeckten Zero-Day-Exploits, die von Lookout "Trident" getauft wurden, schließen und ist für iOS-Geräte ab dem iPhone 4S, iPad 2 sowie iPod Touch der fünften Generation erhältlich.

Bei Angriff aufgeflogen

Es ist beispiellos, dass eine Software zur Überwachung von iPhones mit derartigen Fähigkeiten, die meist nur Geheimdiensten zugeschrieben werden, entdeckt und analysiert werden konnte. Den Experten zufolge steckt hinter dem Programm ein Unternehmen aus Israel, das von einem Finanzinvestor übernommen wurde und als eine Art Cyberwaffen-Händler gelte.

Aufgeflogen sei das Schadprogramm, als Ahmed Mansur, ein bekannter Menschenrechtler aus den Vereinigten Arabischen Emiraten, Verdacht bei einer Nachricht mit einem Link zu angeblichen Informationen über Folter von Häftlingen in dem Land geschöpft habe, hieß es. Statt den Link anzuklicken, habe Mansur die Sicherheitsforscher eingeschaltet. Sie gaben dem entdeckten Überwachungsprogramm den Namen „Pegasus“. Mansur wurde bereits in der Vergangenheit von derartiger Spyware ins Visier genommen, unter anderem von FinFisher sowie dem Hacking Team.

Weltweit eingesetzt

Pegasus ist die ausgeklügeltste Attacke, die wir je auf einem Endgerät gesehen haben“, resümierte Lookout. Das Programm profitiere davon, dass mobile Geräte tief in den Alltag integriert seien. Zudem vereinten sie eine Vielzahl an Informationen wie Passwörter, Fotos, E-Mails, Kontaktlisten, GPS-Standortdaten. Die Spionage-Software sei modular aufgebaut und greife zu Verschlüsselung, um nicht entdeckt zu werden. Lookout lässt iPhone-Nutzer inzwischen mit einer App prüfen, ob ihr Gerät befallen wurde.

Das kanadische Citizen Lab fand auch Hinweise darauf, dass ein mexikanischer Journalist und bisher nicht näher bekannte Zielpersonen in Kenia mit Hilfe von „Pegasus“ ausgespäht worden seien. Insgesamt blieb jedoch zunächst unklar, wie breit und wie lange sie eingesetzt worden sein könnte. Um sie einschleusen zu können, gaben sich die Vertreter der NSO Group aber unter anderem als Vertreter des Internationalen Roten Kreuzes, IT- oder Nachrichtenorganisationen aus oder täuschten Mails für den Visa-Prozess in Großbritannien vor.

An Gesetze für Cyberwaffen gehalten

Ein Sprecher der als Urheber vermuteten Firma NSO Group erklärte der „New York Times“, man verkaufe nur an Regierungsbehörden und halte sich streng an Ausfuhrbestimmungen. Er wollte keine Angaben dazu machen, ob Software des Unternehmens in den Vereinigten Arabischen Emiraten oder in Mexiko im Einsatz sei.
Die von Apple veröffentlichte iOS-Version 9.3.5. ist für iPhones, iPad-Tablets und den Multimedia-Player iPod touch gedacht.

Für den Konzern ist das Spionageprogramm ein schmerzlicher Dämpfer: Die Sicherheit der Geräte ist ein wichtiger Pfeiler des Apple-Marketings und der Konzern investiert viel in Verschlüsselung und andere Sicherheitsmechanismen. Zuletzt begab man sich in einen noch andauernden Rechtsstreit mit der US-Bundespolizei FBI, die in mehreren Fällen das Entsperren von verschlüsselten iPhones forderte. Der US-Konzern verweigerte die Kooperation, da man befürchte, dass die Ausnahme zur Regel werden könnte. Apple betonte, man empfehle den Nutzern immer, die neueste iOS-Version zu nutzen.

Sogenannte „Zero-Day“-Sicherheitslücken, die dem Anbieter einer Software nicht bekannt sind, werden von Geheimdiensten und kriminellen Hackern genutzt. Auch der Computer-Wurm „Stuxnet“, der das iranische Atomprogramm sabotierte, griff mehrere solcher Lücken an. „Zero-Day“-Schwachstellen in iPhones werden teuer gehandelt und können auch eine Million Dollar kosten. Dass „Pegasus“ gleich drei von ihnen nutzte, ist deshalb relativ ungewöhnlich.

Das Verfahren

Die Software machte sich ein ähnliches Verfahren, wie es bei sogenannten Jailbreaks üblich ist, zunutze. So wird der Prozess bezeichnet, bei dem ein iPhone von den von Apple vorgesehenen Einschränkungen befreit wird. Einige Nutzer machen das selbst, um mehr Software installieren und das Gerät freier konfigurieren zu können. Damit fallen aber auch die Hürden für Attacken. Über eine Sicherheitslücke in Apples Web-Browser Safari konnte beliebiger Software-Code ausgeführt werden.

Die Angreifer nutzten dies aus, um die Angriffs-Elemente von „Pegasus“ auf das Gerät zu laden. Um das auszulösen, genügt es, einen präparierten Link anzuklicken. Das einzige ungewöhnliche Verhalten für den Nutzer war, dass sich die Safari-App schloss. Die inzwischen auf dem Gerät aktive „Pegasus“-Software spürte dank der zweiten Sicherheitslücke das von Apple eigentlich versteckte Herzstück des iPhone-Betriebssystems iOS, den sogenannten Kernel, auf. Er ist ein Schlüsselelement für die Sicherheit der Geräte. Über eine Schwachstelle im Kernel selbst sicherte sich „Pegasus“ weitreichenden Zugriff auf das iPhone. Das Spionage-Programm führte heimlich einen Jailbreak durch.