Sicherheitsforscher: Wie die iOS-Spyware Pegasus verborgen blieb

Die Malware setzt drei zuvor unbekannte Sicherheitslücken ein. Kompromittierte iPhones hindert sie am Download von Sicherheitsupdates. Die Angreifer löschen sie aus der Ferne, wenn sie die gewünschten Informationen gesammelt haben.

Sicherheitsforscher von Lookout haben auf der Hackerkonferenz Black Hat Europe technische Einzelheiten zu den Trident-Sicherheitslücken in iOS und der Spyware Pegasus enthüllt. Sie veröffentlichten außerdem eine vollständige 43-seitige technische Analyse. Sie gingen darin auch der Frage nach, wie die Malware jahrelang unbemerkt zur Überwachung von iPhone-Nutzern eingesetzt werden konnte.

Die Spyware Pegasus überwacht die Kommunikation mit einem iPhone (Bild: Lookout).Die Spyware Pegasus überwacht die Kommunikation (Bild: Lookout).

Nach Lookouts Entdeckung von Pegasus im August hatte Apple die drei eingesetzten Zero-Day-Lücken innerhalb von zehn Tagen mit der iOS-Version 9.3.5 behoben. Dank der Schwachstellen war es aber über mehrere Jahre hinweg möglich, iPhones durch gezielte Angriffe zu übernehmen. Die Forschungsgruppe Citizen Lab der kanadischen University of Toronto erfuhr vom Einsatz der Spyware in den Vereinigten Arabischen Emiraten (VAE), die damit einen prodemokratischen Regierungskritiker ausspähten. Die Sicherheitsfirma Lookout analysierte die Software und identifizierte als Urheber das israelische Start-up-Unternehmen NSO Group, das 2010 gegründet und 2014 von einer Investmentfirma in den USA übernommen wurde. Pegasus kam offenbar auch in weiteren Ländern zum Einsatz.

Die modulare Spyware setzte eine Angriffskette ein, die drei bislang unbekannte Sicherheitslücken nutzte – daher von den Sicherheitsforschern als Trident (Dreizack) bezeichnet. Die Infiltration erfolgte zunächst über einen präparierten Spear-Phishing-Link, der über eine Textnachricht versandt wurde. Die Angriffskaskade nutzte zuerst eine Lücke in der Safari-Engine WebKit und dann einen Fehler im Kernelschutz, um sodann eine Korruption des Kernelspeichers auszunutzen und das Mobiltelefon mit einem Jailbreak zu entsperren. Damit erlangte die Malware Rootrechte und konnte das Gerät vom Nutzer unbemerkt übernehmen.

Die Spyware erwies sich aber auch besonders raffiniert darin, weiterhin ihre Entdeckung zu vermeiden, wie die Lookout-Forscher jetzt ausführten. Das beginnt damit, dass Pegasus das infizierte iPhone am Download jeglicher Updates hindert, also praktisch eine Beseitigung der Spyware durch eine Sicherheitsaktualisierung vermeidet. Das sichert die weitere umfangreiche Ausspähung des Opfers. Die Malware kann unter anderem auf Nachrichten, Anrufe, E-Mails, Protokolldateien und mehr von Apps zugreifen – einschließlich Gmail, Facebook, Skype, WhatsApp, Viber, Facetime, Mail.ru, WeChat, der integrierten Kalender-App und weiteren Anwendungen.

Wenn die Angreifer alle Informationen gesammelt haben, die sie über ihr Zielobjekt erfahren wollten, erfolgt die Löschung von Pegasus selbst. „Der Schadcode erlaubt seine eigene Löschung aus der Ferne“, sagte Lookout-Forscher Andrew Blaich. „“Wenn sie also die Spionage auf einem Gerät beenden wollen, können sie diese aus der Ferne auslöschen, ohne Zugriff zum Telefon zu benötigen.“ Pegasus lösche sich außerdem selbst von Geräten, die es nicht kontrollieren kann, um seine Entdeckung zu vermeiden. „Wenn Sie ein Gerät mit Pegasus unter Einsatz der Trident-Lücken infizieren, sich das Gerät aber innerhalb von 24 Stunden nicht bei den Servern zurückmelden kann, dann kann es sich tatsächlich selbst vom Gerät entfernen.“

Während Pegasus unentdeckt bleibt, können die Angreifer das Zielobjekt umfassend überwachen. Sie können Textnachrichten und Anrufe mitschneiden, außerdem Mikrofon und Kamera nutzen. Standortinformationen sind mit GPS und der Überwachung drahtloser Internetverbindungen zu ermitteln. Selbst verschlüsselte Kommunikation entgeht der Spyware nicht. „Wenn sie von Ende zu Ende verschlüsselte Kommunikation nutzen, muss sie dekodiert werden, damit Sie sie auf ihrem Mobiltelefon betrachten können“, erklärte Blaich. „Die Malware hakt sich dort ein und kann es sehen.“

Die Anfälligkeit von iOS für Pegasus / Trident beschäftigt auch Microsoft, das sich kürzlich an der 2007 gegründeten Sicherheitsfirma Lookout Security beteiligte. Unternehmen rät Microsoft aufgrund von Lookouts Erkenntnissen, ihr unerschütterliches Vertrauen in Apples Mobilbetriebssystem als geschlossenem Ökosystem zu überdenken.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Themenseiten: Apple, Lookout, Malware, Sicherheit, iOS, iPhone, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Sicherheitsforscher: Wie die iOS-Spyware Pegasus verborgen blieb

Kommentar hinzufügen
  • Am 7. November 2016 um 23:51 von Punisher

    Mit genug Geld gibt es auch genug kluge Köpfe um solche Software zu entwickeln. Für JEDES System versteht sich.

  • Am 8. November 2016 um 4:13 von Bungi

    Was raten Eltern ihren Kindern? „Nimm nichts von Fremden!“ Was raten Kinder ihren Eltern? „Klick nie auf einen Link in einer Email!“
    Um profeesionell Kaspersky LAB zu zitieren: „Um Spear-Phishing-Betrug wirkungsvoll bekämpfen zu können, müssen Mitarbeiter sich der Bedrohung bewusst sein, d. h. sie sollten sich darüber im Klaren sein, dass es sich bei E-Mails in ihrem Posteingang auch um Fälschungen handeln kann.“ Letztlich ist Schwachstelle Nummer 1 immer der Mensch und da hilft auch das beste Antivirenprogramm nichts. Eine gesunde Paranoia, besonders wenn man nicht unbedingt regierungskonform aktiert, hat in der digitalen Welt noch keinem geschadet.

  • Am 8. November 2016 um 6:15 von ckOne

    „Die Angriffskaskade nutzte zuerst eine Lücke in der Safari-Engine WebKit und dann einen Fehler im Kernelschutz, um sodann eine Korruption des Kernelspeichers auszunutzen und das Mobiltelefon mit einem Jailbreak zu entsperren. Damit erlangte die Malware Rootrechte und konnte das Gerät vom Nutzer unbemerkt übernehmen.“

    HaHaHa, vor nicht allzu langer Zeit hat noch ein Schwätzer hier in den Kommentaren behauptet bei IOS und MacOS ist das nicht möglich, ohne das der User es bestätigt. Es ist nunmal wie es ist, es gibt keine sicheren Systeme und die scheinbare Sicherheit vom MacOS ist nur dem extrem kleinen Marktanteil geschuldet. Möglich wäre genausoviel wie bei Windows.
    Also liebe Mac-User läßt euch keinen Stuss erzählen und sorgt selbst für etwas mehr Sicherheit auf euren Geräten mit einem vernünftigen Virenscanner der auch Malware erkennt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *