Categories: Sicherheit

Sicherheitsforscher: Wie die iOS-Spyware Pegasus verborgen blieb

Sicherheitsforscher von Lookout haben auf der Hackerkonferenz Black Hat Europe technische Einzelheiten zu den Trident-Sicherheitslücken in iOS und der Spyware Pegasus enthüllt. Sie veröffentlichten außerdem eine vollständige 43-seitige technische Analyse. Sie gingen darin auch der Frage nach, wie die Malware jahrelang unbemerkt zur Überwachung von iPhone-Nutzern eingesetzt werden konnte.

Die Spyware Pegasus überwacht die Kommunikation (Bild: Lookout).

Nach Lookouts Entdeckung von Pegasus im August hatte Apple die drei eingesetzten Zero-Day-Lücken innerhalb von zehn Tagen mit der iOS-Version 9.3.5 behoben. Dank der Schwachstellen war es aber über mehrere Jahre hinweg möglich, iPhones durch gezielte Angriffe zu übernehmen. Die Forschungsgruppe Citizen Lab der kanadischen University of Toronto erfuhr vom Einsatz der Spyware in den Vereinigten Arabischen Emiraten (VAE), die damit einen prodemokratischen Regierungskritiker ausspähten. Die Sicherheitsfirma Lookout analysierte die Software und identifizierte als Urheber das israelische Start-up-Unternehmen NSO Group, das 2010 gegründet und 2014 von einer Investmentfirma in den USA übernommen wurde. Pegasus kam offenbar auch in weiteren Ländern zum Einsatz.

Die modulare Spyware setzte eine Angriffskette ein, die drei bislang unbekannte Sicherheitslücken nutzte – daher von den Sicherheitsforschern als Trident (Dreizack) bezeichnet. Die Infiltration erfolgte zunächst über einen präparierten Spear-Phishing-Link, der über eine Textnachricht versandt wurde. Die Angriffskaskade nutzte zuerst eine Lücke in der Safari-Engine WebKit und dann einen Fehler im Kernelschutz, um sodann eine Korruption des Kernelspeichers auszunutzen und das Mobiltelefon mit einem Jailbreak zu entsperren. Damit erlangte die Malware Rootrechte und konnte das Gerät vom Nutzer unbemerkt übernehmen.

Die Spyware erwies sich aber auch besonders raffiniert darin, weiterhin ihre Entdeckung zu vermeiden, wie die Lookout-Forscher jetzt ausführten. Das beginnt damit, dass Pegasus das infizierte iPhone am Download jeglicher Updates hindert, also praktisch eine Beseitigung der Spyware durch eine Sicherheitsaktualisierung vermeidet. Das sichert die weitere umfangreiche Ausspähung des Opfers. Die Malware kann unter anderem auf Nachrichten, Anrufe, E-Mails, Protokolldateien und mehr von Apps zugreifen – einschließlich Gmail, Facebook, Skype, WhatsApp, Viber, Facetime, Mail.ru, WeChat, der integrierten Kalender-App und weiteren Anwendungen.

Wenn die Angreifer alle Informationen gesammelt haben, die sie über ihr Zielobjekt erfahren wollten, erfolgt die Löschung von Pegasus selbst. „Der Schadcode erlaubt seine eigene Löschung aus der Ferne“, sagte Lookout-Forscher Andrew Blaich. „“Wenn sie also die Spionage auf einem Gerät beenden wollen, können sie diese aus der Ferne auslöschen, ohne Zugriff zum Telefon zu benötigen.“ Pegasus lösche sich außerdem selbst von Geräten, die es nicht kontrollieren kann, um seine Entdeckung zu vermeiden. „Wenn Sie ein Gerät mit Pegasus unter Einsatz der Trident-Lücken infizieren, sich das Gerät aber innerhalb von 24 Stunden nicht bei den Servern zurückmelden kann, dann kann es sich tatsächlich selbst vom Gerät entfernen.“

Während Pegasus unentdeckt bleibt, können die Angreifer das Zielobjekt umfassend überwachen. Sie können Textnachrichten und Anrufe mitschneiden, außerdem Mikrofon und Kamera nutzen. Standortinformationen sind mit GPS und der Überwachung drahtloser Internetverbindungen zu ermitteln. Selbst verschlüsselte Kommunikation entgeht der Spyware nicht. „Wenn sie von Ende zu Ende verschlüsselte Kommunikation nutzen, muss sie dekodiert werden, damit Sie sie auf ihrem Mobiltelefon betrachten können“, erklärte Blaich. „Die Malware hakt sich dort ein und kann es sehen.“

Die Anfälligkeit von iOS für Pegasus / Trident beschäftigt auch Microsoft, das sich kürzlich an der 2007 gegründeten Sicherheitsfirma Lookout Security beteiligte. Unternehmen rät Microsoft aufgrund von Lookouts Erkenntnissen, ihr unerschütterliches Vertrauen in Apples Mobilbetriebssystem als geschlossenem Ökosystem zu überdenken.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago