Sicherheitsforscher: Wie die iOS-Spyware Pegasus verborgen blieb

Sicherheitsforscher von Lookout haben auf der Hackerkonferenz Black Hat Europe technische Einzelheiten zu den Trident-Sicherheitslücken in iOS und der Spyware Pegasus enthüllt. Sie veröffentlichten außerdem eine vollständige 43-seitige technische Analyse. Sie gingen darin auch der Frage nach, wie die Malware jahrelang unbemerkt zur Überwachung von iPhone-Nutzern eingesetzt werden konnte.

Die Spyware Pegasus überwacht die Kommunikation (Bild: Lookout).

Nach Lookouts Entdeckung von Pegasus im August hatte Apple die drei eingesetzten Zero-Day-Lücken innerhalb von zehn Tagen mit der iOS-Version 9.3.5 behoben. Dank der Schwachstellen war es aber über mehrere Jahre hinweg möglich, iPhones durch gezielte Angriffe zu übernehmen. Die Forschungsgruppe Citizen Lab der kanadischen University of Toronto erfuhr vom Einsatz der Spyware in den Vereinigten Arabischen Emiraten (VAE), die damit einen prodemokratischen Regierungskritiker ausspähten. Die Sicherheitsfirma Lookout analysierte die Software und identifizierte als Urheber das israelische Start-up-Unternehmen NSO Group, das 2010 gegründet und 2014 von einer Investmentfirma in den USA übernommen wurde. Pegasus kam offenbar auch in weiteren Ländern zum Einsatz.

Die modulare Spyware setzte eine Angriffskette ein, die drei bislang unbekannte Sicherheitslücken nutzte – daher von den Sicherheitsforschern als Trident (Dreizack) bezeichnet. Die Infiltration erfolgte zunächst über einen präparierten Spear-Phishing-Link, der über eine Textnachricht versandt wurde. Die Angriffskaskade nutzte zuerst eine Lücke in der Safari-Engine WebKit und dann einen Fehler im Kernelschutz, um sodann eine Korruption des Kernelspeichers auszunutzen und das Mobiltelefon mit einem Jailbreak zu entsperren. Damit erlangte die Malware Rootrechte und konnte das Gerät vom Nutzer unbemerkt übernehmen.

Die Spyware erwies sich aber auch besonders raffiniert darin, weiterhin ihre Entdeckung zu vermeiden, wie die Lookout-Forscher jetzt ausführten. Das beginnt damit, dass Pegasus das infizierte iPhone am Download jeglicher Updates hindert, also praktisch eine Beseitigung der Spyware durch eine Sicherheitsaktualisierung vermeidet. Das sichert die weitere umfangreiche Ausspähung des Opfers. Die Malware kann unter anderem auf Nachrichten, Anrufe, E-Mails, Protokolldateien und mehr von Apps zugreifen – einschließlich Gmail, Facebook, Skype, WhatsApp, Viber, Facetime, Mail.ru, WeChat, der integrierten Kalender-App und weiteren Anwendungen.

Wenn die Angreifer alle Informationen gesammelt haben, die sie über ihr Zielobjekt erfahren wollten, erfolgt die Löschung von Pegasus selbst. „Der Schadcode erlaubt seine eigene Löschung aus der Ferne“, sagte Lookout-Forscher Andrew Blaich. „“Wenn sie also die Spionage auf einem Gerät beenden wollen, können sie diese aus der Ferne auslöschen, ohne Zugriff zum Telefon zu benötigen.“ Pegasus lösche sich außerdem selbst von Geräten, die es nicht kontrollieren kann, um seine Entdeckung zu vermeiden. „Wenn Sie ein Gerät mit Pegasus unter Einsatz der Trident-Lücken infizieren, sich das Gerät aber innerhalb von 24 Stunden nicht bei den Servern zurückmelden kann, dann kann es sich tatsächlich selbst vom Gerät entfernen.“

Während Pegasus unentdeckt bleibt, können die Angreifer das Zielobjekt umfassend überwachen. Sie können Textnachrichten und Anrufe mitschneiden, außerdem Mikrofon und Kamera nutzen. Standortinformationen sind mit GPS und der Überwachung drahtloser Internetverbindungen zu ermitteln. Selbst verschlüsselte Kommunikation entgeht der Spyware nicht. „Wenn sie von Ende zu Ende verschlüsselte Kommunikation nutzen, muss sie dekodiert werden, damit Sie sie auf ihrem Mobiltelefon betrachten können“, erklärte Blaich. „Die Malware hakt sich dort ein und kann es sehen.“

Die Anfälligkeit von iOS für Pegasus / Trident beschäftigt auch Microsoft, das sich kürzlich an der 2007 gegründeten Sicherheitsfirma Lookout Security beteiligte. Unternehmen rät Microsoft aufgrund von Lookouts Erkenntnissen, ihr unerschütterliches Vertrauen in Apples Mobilbetriebssystem als geschlossenem Ökosystem zu überdenken.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.