Eine neu entdeckte Spionage-Software hat sich Zugriff auf iPhones und andere Apple-Geräte verschaffen können. Der IT-Sicherheitsfirma Lookout zufolge konnte das Programm dank dreier bisher unbekannter Software-Schwachstellen unter anderem Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers verfolgen.
Nach Erkenntnissen von Experten wurde das Programm auch gegen Menschenrechtler und Journalisten eingesetzt. Apple schloss die Sicherheitslücken im iPhone-System iOS am Donnerstag - rund zwei Wochen nach einem ersten Verdacht.
Ein Menschenrechtler schöpfte offenbar zuerst Verdacht
Eine Software mit so weitreichenden Fähigkeiten zur Überwachung von iPhones wurde bislang noch nicht entdeckt. Den Experten zufolge steckt hinter dem Programm ein Unternehmen aus Israel, das von einem Finanzinvestor übernommen wurde und als eine Art Cyberwaffen-Händler gilt.
Aufgeflogen sei das Schadprogramm, als ein Menschenrechtler aus den Vereinigten Arabischen Emiraten Verdacht bei einer Nachricht mit einem Link zu angeblichen Informationen über Folter von Häftlingen in dem Land geschöpft habe. Statt den Link anzuklicken, habe Ahmed Mansur die Sicherheitsforscher eingeschaltet. Sie gaben dem entdeckten Überwachungsprogramm den Namen "Pegasus".
"Pegasus ist die ausgeklügelste Attacke, die wir je auf einem Endgerät gesehen haben", resümiert ein Lookout-Mitarbeiter. Das Programm profitiere davon, dass mobile Geräte tief in den Alltag integriert seien. Die Spionage-Software sei modular aufgebaut und greife zu einer Verschlüsselung, um nicht entdeckt zu werden. Lookout lässt iPhone-Nutzer inzwischen mit einer App prüfen, ob ihr Gerät befallen wurde.
Apple rät Nutzern zu sofortigem iOS-Update
Das kanadische Citizen Lab fand auch Hinweise darauf, dass ein mexikanischer Journalist und bisher nicht näher bekannte Personen in Kenia mit Hilfe von "Pegasus" ausgespäht worden seien. Insgesamt blieb jedoch zunächst unklar, wie umfassend und wie lange sie schon eingesetzt worden sein könnte.
Ein Sprecher der als Urheber vermuteten Firma NSO Group erklärte der New York Times, man verkaufe nur an Regierungsbehörden und halte sich streng an Ausfuhrbestimmungen. Er wollte keine Angaben dazu machen, ob Software des Unternehmens in den Vereinigten Arabischen Emiraten oder in Mexiko im Einsatz sei.
Die von Apple veröffentlichte iOS-Version 9.3.5. ist für iPhones, iPad-Tablets und den Multimedia-Player iPod Touch gedacht. Für den Konzern ist das Spionageprogramm unangenehm: Die Sicherheit der Geräte ist ein wichtiger Pfeiler des Apple-Marketings. Der Konzern investiert viel in Verschlüsselung und andere Sicherheitsmechanismen. Apple betonte, man empfehle den Nutzern immer, die neueste iOS-Version zu nutzen.
Wie sich die Software "Pegasus" Zugriff auf iPhones verschaffte
Das Spionage-Programm griff nach Erkenntnissen der IT-Sicherheitsfirma Lookout und des kanadischen Citizen Lab nacheinander drei bisher unbekannte Software-Schwachstellen an:
Schritt eins: Über eine Sicherheitslücke in Apples Web-Browser Safari konnte ein beliebiger Software-Code ausgeführt werden. Die Angreifer nutzten dies aus, um die Angriffs-Elemente von "Pegasus" auf das Gerät zu laden. Um diesen Schritt auszulösen, genügt es, einen präparierten Link anzuklicken. Das einzige ungewöhnliche Vorkommen für den Nutzer war, dass sich die Safari-App schloss.
Schritt zwei: Die inzwischen auf dem Gerät aktive "Pegasus"-Software gelangte dank der zweiten Sicherheitslücke in das Herzstück des iPhone-Betriebssystems iOS, dem sogenannten Kernel. Der ist ein Schlüsselelement für die Sicherheit der Geräte.
Schritt drei: Über eine Schwachstelle im Kernel selbst sicherte sich "Pegasus" weitreichenden Zugriff auf das iPhone. Das Spionage-Programm führte heimlich einen sogenannten "Jailbreak" durch - so wird der Prozess bezeichnet, bei dem ein iPhone von den von Apple vorgesehenen Einschränkungen befreit wird. Einige Nutzer machen das selbst, um das Gerät freier konfigurieren zu können. Damit fallen aber auch die Hürden für Attacken. So auch hier: Nach dem unerkannten "Jailbreak" konnte "Pegasus" Überwachungs-Software hinzufügen.
Die von der Software genutzten Schwachstellen - sogenannte "Zero-Day"-Sicherheitslücken, die dem Anbieter einer Software nicht bekannt sind - werden von Geheimdiensten und kriminellen Hackern genutzt. Auch der Computer-Wurm "Stuxnet", der das iranische Atomprogramm sabotierte, griff mehrere solcher Lücken an.
"Zero-Day"-Schwachstellen in iPhones werden teuer gehandelt. Dass "Pegasus" gleich drei von ihnen nutzte, ist deshalb relativ ungewöhnlich.
