Categories: Sicherheit

iOS: Sicherheitsforscher entdecken Zero-Day-Lücken

Mehrere Zero-Day-Lücken haben es über mehrere Jahre möglich gemacht, iPhones durch gezielte Angriffe zu kompromittieren. Regierungsbehörden verschiedener Länder nutzten Exploits, um mithilfe bisher nicht bekannter Schwachstellen die Smartphones von Nutzern zu übernehmen, ohne dass diese es bemerkten. Das brachte die Forschungsgruppe Citizen Lab der kanadischen University of Toronto in Erfahrung. Das technische Vorgehen der staatlichen Hacker analysierte die Sicherheitsfirma Lookout.

Die Spyware Pegasus überwacht die Kommunikation (Bild: Lookout).

Die beiden Organisationen arbeiteten mit den Sicherheitsexperten Apples zusammen, die nun schnell reagierten und die drei Zero-Day-Lücken innerhalb von zehn Tagen mit der neuen iOS-Version 9.3.5 behoben. Im Einsatz war die sie nutzende Spyware aber offenbar schon über erstaunlich lange Zeit, wie eine Code-Analyse zeigte. Eine Kernel-Mapping-Tabelle beispielsweise enthielt Werte, die bis zu iOS 7 zurückreichten. Eine Update auf die aktuellste Version von Apples Mobilbetriebssystem ist daher anzuraten.

Die Entdecker bezeichnen die Spyware als Pegasus. Sie sehen in ihr die raffinierteste Attacke, die bislang bei einem Endgerät beobachtet wurde. Pegasus ist modular und nutzt starke Verschlüsselung, um eine Entdeckung zu vermeiden. Zur Kompromittierung von iPhones kommt eine Angriffskette zum Einsatz, die gleich drei bislang unbekannte Sicherheitslücken nutzt – von den Sicherheitsforschern als Trident (Dreizack) bezeichnet.

Die in hohem Maße konfigurierbare Software erlaubt eine umfangreiche Ausspähung des Opfers. Sie kann unter anderem auf Nachrichten, Anrufe, E-Mails, Protokolldateien und mehr von Apps zugreifen – einschließlich Gmail, Facebook, Skype, WhatsApp, Viber, Facetime, Mail.ru, WeChat, der integrierten Kalender-App und weiteren Anwendungen. Die Malware scheint auch nach einem Update des Betriebssystems dauerhaft fortzubestehen und kann sich selbst aktualisieren, um neue Exploits zu nutzen.

Entdeckt wurde die Spyware, weil die Vereinigten Arabischen Emirate (VAE) mit ihr den prodemokratischen Regierungskritiker Ahmed Mansoor auszuspähen versuchten. Da der international bekannte Menschenrechtler wiederholt ähnlichen Angriffen mit von FinFisher und Hacking Team gelieferten Regierungstrojanern ausgesetzt war und für seine politische Haltung auch schon selbst inhaftiert war, wurde er misstrauisch, als ihn Textnachrichten mit Links erreichten. Sie versprachen ihm Enthüllungen über Menschen, die in den Gefängnissen des Landes gefoltert wurden.

Statt auf einen Link zu klicken, schickte Mansoor Screenshots und die URL an Forscher des Citizen Lab. Diese luden die URL mit einem auf den Werkszustand zurückgesetzten iPhone 5 , das mit iOS 9.3.3 lief. Daraufhin öffnete sich eine leere Seite, die sich rund zehn Sekunden später wieder schloss. Die weitere Beobachtung der mit dem Gerät versandten und empfangenen Daten zeigte ihnen jedoch, wie der Angriff ablief und von wo er ausging.

Die Angriffskaskade nutzt zuerst eine Lücke in der Safari-Engine WebKit und dann einen Fehler im Kernelschutz, um sodann eine Korruption des Kernelspeichers auszunutzen und das Mobiltelefon mit einem Jailbreak zu entsperren. Damit erlangt sie Rootrechte und kann das Gerät vom Nutzer unbemerkt übernehmen.

Als Entwickler der Software identifizierten die Sicherheitsforscher das israelische Start-up-Unternehmen NSO Group, das 2010 gegründet und 2014 von einer Investmentfirma in den USA übernommen wurde. NSO werden „Cyberkrieg“-Aktivitäten zugeschrieben. Citizen Lab fand Hinweise darauf, dass ihre Spyware unter anderem auch in Kenia sowie gegen einen mexikanischen Journalisten zum Einsatz kam, der über eine Korruptionsverwicklung des Staatschefs von Mexiko berichtete.

NSO selbst gibt an, seine Software ausschließlich an Regierungen zu verkaufen und nichts von den entdeckten Angriffen auf Menschenrechtler und Journalisten zu wissen. „Wenn Regierungen Malware nutzen und Schwachstellen bevorraten, belastet das auch die übrige Gesellschaft“, zitiert die Washington Post dazu Chris Soghoian, den Technologieexperten der Bürgerrechtsorganisation ACLU. „Es ist ja nicht so, dass Terroristen andere Mobiltelefone nutzen als alle übrigen.“

Die technischen Details der Pegasus-Spyware dokumentierte in einem ausführlichen Whitepaper Lookout Security. Die 2007 gegründete Sicherheitsfirma ging kürzlich eine Partnerschaft mit Microsoft ein. Zu ihren Investoren zählten bisher unter anderen Andreessen Horowitz, Deutsche Telekom und Goldman Sachs. Auch In-Q-Tel, der Investment-Arm des US-Geheimdiensts CIA, soll sich an Lookout beteiligt haben.

ZDNet.de Redaktion

Recent Posts

Jeder zweite hat Probleme mit Internetanbieter

Laut EY haben innerhalb eines Jahres 22 Prozent der Haushalte ihren Provider gewechselt – nirgendwo…

1 Tag ago

Tech-Unternehmen in Deutschland blicken mit Sorge auf die USA

Bitkom-Umfrage zeigt: 78 Prozent befürchten durch Trump-Sieg Schaden für die deutsche Wirtschaft.

1 Tag ago

Support-Ende von Windows 10: Microsoft hält an TPM 2.0 für Windows 11 fest

Der Sicherheitschip ist laut Microsoft eine „Notwendigkeit“. Die Hardwareanforderungen für Windows 11 führen allerdings weiterhin…

2 Tagen ago

IONOS führt Preisrechner für Cloud-Dienste ein

Wer die Cloud-Angebote des IT-Dienstleisters nutzen will, kann ab sofort die Kosten noch vor Bereitstellung…

2 Tagen ago

Jahresrückblick: 467.000 neue schädliche Dateien täglich

Die Zahl der neuen schädlichen Dateien steigt seit 2021 kontinuierlich. 93 Prozent der Angriffe nehmen…

2 Tagen ago

Kaspersky-Prognose: Raffiniertere Deepfakes und mehr Abo-Betrug

Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…

3 Tagen ago