iOS: Sicherheitsforscher entdecken Zero-Day-Lücken

Mehrere Zero-Day-Lücken haben es über mehrere Jahre möglich gemacht, iPhones durch gezielte Angriffe zu kompromittieren. Regierungsbehörden verschiedener Länder nutzten Exploits, um mithilfe bisher nicht bekannter Schwachstellen die Smartphones von Nutzern zu übernehmen, ohne dass diese es bemerkten. Das brachte die Forschungsgruppe Citizen Lab der kanadischen University of Toronto in Erfahrung. Das technische Vorgehen der staatlichen Hacker analysierte die Sicherheitsfirma Lookout.

Die beiden Organisationen arbeiteten mit den Sicherheitsexperten Apples zusammen, die nun schnell reagierten und die drei Zero-Day-Lücken innerhalb von zehn Tagen mit der neuen iOS-Version 9.3.5 behoben. Im Einsatz war die sie nutzende Spyware aber offenbar schon über erstaunlich lange Zeit, wie eine Code-Analyse zeigte. Eine Kernel-Mapping-Tabelle beispielsweise enthielt Werte, die bis zu iOS 7 zurückreichten. Eine Update auf die aktuellste Version von Apples Mobilbetriebssystem ist daher anzuraten.

Die Entdecker bezeichnen die Spyware als Pegasus. Sie sehen in ihr die raffinierteste Attacke, die bislang bei einem Endgerät beobachtet wurde. Pegasus ist modular und nutzt starke Verschlüsselung, um eine Entdeckung zu vermeiden. Zur Kompromittierung von iPhones kommt eine Angriffskette zum Einsatz, die gleich drei bislang unbekannte Sicherheitslücken nutzt – von den Sicherheitsforschern als Trident (Dreizack) bezeichnet.

Die in hohem Maße konfigurierbare Software erlaubt eine umfangreiche Ausspähung des Opfers. Sie kann unter anderem auf Nachrichten, Anrufe, E-Mails, Protokolldateien und mehr von Apps zugreifen – einschließlich Gmail, Facebook, Skype, WhatsApp, Viber, Facetime, Mail.ru, WeChat, der integrierten Kalender-App und weiteren Anwendungen. Die Malware scheint auch nach einem Update des Betriebssystems dauerhaft fortzubestehen und kann sich selbst aktualisieren, um neue Exploits zu nutzen.

Entdeckt wurde die Spyware, weil die Vereinigten Arabischen Emirate (VAE) mit ihr den prodemokratischen Regierungskritiker Ahmed Mansoor auszuspähen versuchten. Da der international bekannte Menschenrechtler wiederholt ähnlichen Angriffen mit von FinFisher und Hacking Team gelieferten Regierungstrojanern ausgesetzt war und für seine politische Haltung auch schon selbst inhaftiert war, wurde er misstrauisch, als ihn Textnachrichten mit Links erreichten. Sie versprachen ihm Enthüllungen über Menschen, die in den Gefängnissen des Landes gefoltert wurden.

Statt auf einen Link zu klicken, schickte Mansoor Screenshots und die URL an Forscher des Citizen Lab. Diese luden die URL mit einem auf den Werkszustand zurückgesetzten iPhone 5 , das mit iOS 9.3.3 lief. Daraufhin öffnete sich eine leere Seite, die sich rund zehn Sekunden später wieder schloss. Die weitere Beobachtung der mit dem Gerät versandten und empfangenen Daten zeigte ihnen jedoch, wie der Angriff ablief und von wo er ausging.

Die Angriffskaskade nutzt zuerst eine Lücke in der Safari-Engine WebKit und dann einen Fehler im Kernelschutz, um sodann eine Korruption des Kernelspeichers auszunutzen und das Mobiltelefon mit einem Jailbreak zu entsperren. Damit erlangt sie Rootrechte und kann das Gerät vom Nutzer unbemerkt übernehmen.

Als Entwickler der Software identifizierten die Sicherheitsforscher das israelische Start-up-Unternehmen NSO Group, das 2010 gegründet und 2014 von einer Investmentfirma in den USA übernommen wurde. NSO werden „Cyberkrieg“-Aktivitäten zugeschrieben. Citizen Lab fand Hinweise darauf, dass ihre Spyware unter anderem auch in Kenia sowie gegen einen mexikanischen Journalisten zum Einsatz kam, der über eine Korruptionsverwicklung des Staatschefs von Mexiko berichtete.

NSO selbst gibt an, seine Software ausschließlich an Regierungen zu verkaufen und nichts von den entdeckten Angriffen auf Menschenrechtler und Journalisten zu wissen. „Wenn Regierungen Malware nutzen und Schwachstellen bevorraten, belastet das auch die übrige Gesellschaft“, zitiert die Washington Post dazu Chris Soghoian, den Technologieexperten der Bürgerrechtsorganisation ACLU. „Es ist ja nicht so, dass Terroristen andere Mobiltelefone nutzen als alle übrigen.“

Die technischen Details der Pegasus-Spyware dokumentierte in einem ausführlichen Whitepaper Lookout Security. Die 2007 gegründete Sicherheitsfirma ging kürzlich eine Partnerschaft mit Microsoft ein. Zu ihren Investoren zählten bisher unter anderen Andreessen Horowitz, Deutsche Telekom und Goldman Sachs. Auch In-Q-Tel, der Investment-Arm des US-Geheimdiensts CIA, soll sich an Lookout beteiligt haben.