Categories: Sicherheit

Sicherheitsforscher: Wie die iOS-Spyware Pegasus verborgen blieb

Sicherheitsforscher von Lookout haben auf der Hackerkonferenz Black Hat Europe technische Einzelheiten zu den Trident-Sicherheitslücken in iOS und der Spyware Pegasus enthüllt. Sie veröffentlichten außerdem eine vollständige 43-seitige technische Analyse. Sie gingen darin auch der Frage nach, wie die Malware jahrelang unbemerkt zur Überwachung von iPhone-Nutzern eingesetzt werden konnte.

Die Spyware Pegasus überwacht die Kommunikation (Bild: Lookout).

Nach Lookouts Entdeckung von Pegasus im August hatte Apple die drei eingesetzten Zero-Day-Lücken innerhalb von zehn Tagen mit der iOS-Version 9.3.5 behoben. Dank der Schwachstellen war es aber über mehrere Jahre hinweg möglich, iPhones durch gezielte Angriffe zu übernehmen. Die Forschungsgruppe Citizen Lab der kanadischen University of Toronto erfuhr vom Einsatz der Spyware in den Vereinigten Arabischen Emiraten (VAE), die damit einen prodemokratischen Regierungskritiker ausspähten. Die Sicherheitsfirma Lookout analysierte die Software und identifizierte als Urheber das israelische Start-up-Unternehmen NSO Group, das 2010 gegründet und 2014 von einer Investmentfirma in den USA übernommen wurde. Pegasus kam offenbar auch in weiteren Ländern zum Einsatz.

Die modulare Spyware setzte eine Angriffskette ein, die drei bislang unbekannte Sicherheitslücken nutzte – daher von den Sicherheitsforschern als Trident (Dreizack) bezeichnet. Die Infiltration erfolgte zunächst über einen präparierten Spear-Phishing-Link, der über eine Textnachricht versandt wurde. Die Angriffskaskade nutzte zuerst eine Lücke in der Safari-Engine WebKit und dann einen Fehler im Kernelschutz, um sodann eine Korruption des Kernelspeichers auszunutzen und das Mobiltelefon mit einem Jailbreak zu entsperren. Damit erlangte die Malware Rootrechte und konnte das Gerät vom Nutzer unbemerkt übernehmen.

Die Spyware erwies sich aber auch besonders raffiniert darin, weiterhin ihre Entdeckung zu vermeiden, wie die Lookout-Forscher jetzt ausführten. Das beginnt damit, dass Pegasus das infizierte iPhone am Download jeglicher Updates hindert, also praktisch eine Beseitigung der Spyware durch eine Sicherheitsaktualisierung vermeidet. Das sichert die weitere umfangreiche Ausspähung des Opfers. Die Malware kann unter anderem auf Nachrichten, Anrufe, E-Mails, Protokolldateien und mehr von Apps zugreifen – einschließlich Gmail, Facebook, Skype, WhatsApp, Viber, Facetime, Mail.ru, WeChat, der integrierten Kalender-App und weiteren Anwendungen.

Wenn die Angreifer alle Informationen gesammelt haben, die sie über ihr Zielobjekt erfahren wollten, erfolgt die Löschung von Pegasus selbst. „Der Schadcode erlaubt seine eigene Löschung aus der Ferne“, sagte Lookout-Forscher Andrew Blaich. „“Wenn sie also die Spionage auf einem Gerät beenden wollen, können sie diese aus der Ferne auslöschen, ohne Zugriff zum Telefon zu benötigen.“ Pegasus lösche sich außerdem selbst von Geräten, die es nicht kontrollieren kann, um seine Entdeckung zu vermeiden. „Wenn Sie ein Gerät mit Pegasus unter Einsatz der Trident-Lücken infizieren, sich das Gerät aber innerhalb von 24 Stunden nicht bei den Servern zurückmelden kann, dann kann es sich tatsächlich selbst vom Gerät entfernen.“

Während Pegasus unentdeckt bleibt, können die Angreifer das Zielobjekt umfassend überwachen. Sie können Textnachrichten und Anrufe mitschneiden, außerdem Mikrofon und Kamera nutzen. Standortinformationen sind mit GPS und der Überwachung drahtloser Internetverbindungen zu ermitteln. Selbst verschlüsselte Kommunikation entgeht der Spyware nicht. „Wenn sie von Ende zu Ende verschlüsselte Kommunikation nutzen, muss sie dekodiert werden, damit Sie sie auf ihrem Mobiltelefon betrachten können“, erklärte Blaich. „Die Malware hakt sich dort ein und kann es sehen.“

Die Anfälligkeit von iOS für Pegasus / Trident beschäftigt auch Microsoft, das sich kürzlich an der 2007 gegründeten Sicherheitsfirma Lookout Security beteiligte. Unternehmen rät Microsoft aufgrund von Lookouts Erkenntnissen, ihr unerschütterliches Vertrauen in Apples Mobilbetriebssystem als geschlossenem Ökosystem zu überdenken.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Bernd Kling

Recent Posts

Was macht attraktive Onlineshops und Co. in den Augen von Kunden aus?

Onlineshopping ähnelt zunehmend einem persönlichen Einkaufserlebnis in einem Offline-Geschäft. Mittlerweile haben Unternehmen reichliche Erfahrungen sammeln…

18 Stunden ago

Intel übertrifft die Erwartungen im vierten Quartal

Der Umsatz steigt auf 19,5 Milliarden Dollar. Es ist der höchste Quartalsumsatz in der Geschichte…

2 Tagen ago

Android-Apps unter Windows 11: Microsoft kündigt Betatest für Februar an

Microsoft realisiert die Funktion in Zusammenarbeit mit Intel und Amazon. Eigentlich sollte Windows 11 schon…

2 Tagen ago

Gartner: CO2-Emissionen von Hyperscalern beeinflussen Cloud-Einkauf

Nachhaltigkeitsinvestitionen werden zunehmen, da Umwelt-, Sozial- und Governance-Faktoren (ESG) die Berichterstattung der Unternehmen verändern.

2 Tagen ago

US-Handelsministerium: Chipkrise zieht sich bis ins zweite Halbjahr 2022

Ein Grund für die anhaltende Knappheit ist die weiterhin hohe Nachfrage. Ereignisse wie die Corona-Pandemie…

3 Tagen ago

Android-Malware stiehlt Geld und löscht Daten

Der Trojaner BRATA nimmt inzwischen auch Nutzer in den USA und Spanien ins Visier. Er…

3 Tagen ago