Nach zwei Stunden vor dem Bildschirm wird Max Bazaliy langsam klar, dass er gerade Computercode analysiert, wie ihn IT-Sicherheitsforscher nur selten zu sehen bekommen. Code, der so brisant ist, dass Firmen dafür viel Geld zahlen.
Bazaliy arbeitet für das Unternehmen Lookout, das auf die Sicherheit von Smartphones spezialisiert ist. Er verbringt noch mehrere Stunden an seinem Rechner, bis er sich sicher ist. "Ich habe gemerkt, dass da sehr komische Dinge passieren", erzählt der 29-Jährige in einem Gespräch in Hamburg Ende 2016, am Rande der Hacker-Konferenz 33c3. An dem Abend, an dem er den Code sieht, ruft er seinen Chef an. Es ist sehr dringend.
Der Code, der ihn von Mitte August an für mehrere Wochen beschäftigen wird, kann anscheinend komplett auf fremde iPhones zugreifen: Skype-Gespräche mitlesen, auf E-Mails zugreifen, Tastaturanschläge protokollieren. Noch mehr ist möglich. "Ich war sehr beeindruckt. Der Angriff ist extrem clever", sagt Bazaliy. Sein Kollege formulierte es im Gespräch mit der Vanity Fair so: "Bei jeder Zeile war es ein: 'Oh shit, das kann doch nicht wahr sein. Oh shit. Oh shit.' So ging es weiter und weiter."
Ein außergewöhnlicher Fall von Spionage
Es ist das erste Mal, das öffentlich ein Fall dokumentiert wird, in dem das iPhone durch Unbefugte bedient werden kann, die sich auch am anderen Ende der Welt befinden könnten. Ein außergewöhnlicher Fall von Spionage, der gleich drei Schwachstellen des Gerätes nutzt. Beim Boxen würde man sagen: Zwei kurze Gerade, dann der Kinnhaken - und die Verteidigung des iPhone ist ausgeknockt.
Ausgerechnet jenes Smartphone, das auch in Sachen Sicherheit einen exzellenten Ruf genießt. Denn Apple kontrolliert sowohl Hard- als auch Software - im Gegensatz etwa zu den meisten Herstellern von Android-Telefonen. Apples Vorteil: Werden Sicherheitslücken gefunden, können diese mit einem Update vergleichsweise schnell geschlossen werden. Das erschwert Angriffe. Apple reagierte Im August 2016 im Eiltempo. Binnen zwei Wochen war die Lücke geschlossen.
Bazaliy analysierte die technischen Details des Angriffs, IT-Sicherheitsforscher der Forschungsgruppe Citizen Lab aus Kanada die politische Dimension. Erst beide Untersuchungen zusammen ergaben ein klares Gesamtbild.
Milliardenschwerer Schattenmarkt um Spionage-Software
Es zeigt sich, dass weltweit in den vergangenen Jahren ein nicht zu überblickender Schattenmarkt entstanden ist, in dem aggressiver Computercode gehandelt wird. Es gibt wenige Schätzungen darüber, wie viele Milliarden Euro im Jahr mit dem Vertrieb von Spionage-Software umgesetzt werden. In einer von 2012 hieß es, dass schon damals fünf Milliarden Dollar jährlich umgesetzt werden.
Staaten und ihre Polizeibehörden kaufen auf diesem Markt ein. Was Hacker in penibler Arbeit finden und für gutes Geld verkaufen, wird auch von unterdrückerischen Regimen eingesetzt, um Dissidenten auszuspionieren. So auch im Fall von "Pegasus", wie Fachleute den großen Angriff auf das iPhone nennen.
Das eigentliche Ziel des Angriffs war Ahmad Mansour. Er lebt in den Vereinten Arabischen Emiraten, legt sich für die Bürger mit dem Staat an. Für seine Arbeit wurde ihm unter anderem von Amnesty International und Human Rights Watch der Menschenrechtspreis verliehen. In den Emiraten wurde er inhaftiert, geschlagen, sein Pass eingezogen. Und mindestens drei Mal wurde versucht, seine Kommunikation zu überwachen.
Im August 2016 bekommt Mansour eine SMS von einer unbekannten Nummer. Darin steht: "Neue Geheimnisse über emiratische Bürger, die in Gefängnissen gefoltert wurden" Klingt nach einem Thema, das den Menschenrechtler interessieren dürfte. Darunter ein Link. Es ist eine klassische Phishing-Nachricht. Dabei versuchen Angreifer, ihre Opfer mit einer gezielten Botschaft zu ködern. Die SMS ist maßgeschneidert, damit der Empfänger auf jeden Fall den Link anklickt - und sich so Spionagesoftware auf das Smartphone lädt, ohne es zu ahnen.
"Für mich ist es ganz normal, auch das Zweifellose anzuzweifeln"
Mansour war bereits zweimal auf einen vergleichbaren Phishing-Trick hereingefallen. Dieses Mal klickte er die Nachricht nicht an. "Ich habe fast alle Formen von Überwachungssoftware gesehen, alle Hacking-Techniken. Für mich ist es ganz normal, auch das Zweifellose anzuzweifeln", sagte er im Interview mit Motherboard.
Stattdessen leitete er die Nachricht an Bill Marczak von Citizen Lab weiter. Der IT-Sicherheitsforscher deckte in den Jahren zuvor die Machenschaften von Firmen auf, die Überwachung als Dienstleistung anbieten. Sie verkaufen nicht nur die Schwachstellen, sondern bieten auch Support-Dienste für die Technik an. Marczak sah sich den von Mansour weitergeleiteten Code an, und leitete ihn direkt an Bazaliy weiter, den Fachmann von Lookout. Die Firma hat sich auf die Sicherheit von iOS-Geräten spezialisiert.
Erst einbrechen, dann die Kontrolle übernehmen
Bazaliy dagegen ist Experte, wenn es darum geht, iPhones zu "jailbreaken". Ein Jailbreak gibt fremden Nutzern absolute Kontrolle über das Gerät - um zum Beispiel Apps zu installieren, die das Smartphone sonst blockieren würde. Wer aus der Ferne einen Jailbreak durchführt und in den Systemkern kommt, kann das Smartphone kontrollieren.
Bazaliys Englisch ist flüssig, sein Akzent ukrainisch, seine Beschreibungen sehr technisch. Er spricht über den Kernel - den Kern eines Betriebssystems. Dieser ist in etwa vergleichbar mit dem Motor eines Autos: Ohne ihn läuft nichts. Im Kernel werden alle laufenden Prozesse verwaltet und die Kommunikation zwischen Hard- und Software geregelt.
Das Stück Code, das Bazaliy analysierte, wollte auf diesen Systemkern zugreifen. Das ließ ihn stutzig werden: "Normale Applikationen machen das nicht. Apple verbietet das und es gibt keinen Grund für Entwickler, solche Anfragen zu verschicken." Der Prozess, den der Code in Gang setzen wollte, werde bei Jailbreaks verwendet, sagt Bazaliy.
Safari schließt sich ohne Grund - scheinbar
Hätte Mansour den Link geklickt, hätte er nicht viel gesehen. Sein Safari-Browser hätte sich geöffnet und anschließend geschlossen. Was für Laien aussieht wie ein ganz normaler Absturz eines Programmes ohne schwerwiegende Folgen, war in Wahrheit ein so genannter Zero-Day-Exploit. So nennen Fachleute eine Schwachstelle, die vorher niemandem bekannt war außer den Hackern, die sie nun ausnutzen.
Die Firma, der das Produkt gehört, hatte "zero days", um die Schwachstelle zu schließen. Solange die offen stehen, können Angreifer das System lahmlegen. Zero-Days sind so selten zu finden, das Firmen im Fall von Apple-Geräten Millionenbeträge für sie zahlen.
Computercode kann man sich vorstellen wie ein Puzzle, das aus Millionen Einzelteilen besteht. Aus der Ferne betrachtet wirkt es wie ein stimmiges Gesamtbild. Wer jedoch näher an das Puzzle herantritt, um sich einzelne Stellen genauer anzusehen, sieht mitunter, dass Einzelteile fehlen.
Als Marczak die Nachricht weitergeleitet bekam, bestätigte sich ein Verdacht, den er seit Monaten hegte: Dass eine in Israel ansässige Firma, NSO Group, Software dieser Art vertreibt. Die in der SMS enthaltene IP-Adresse wurde auch von Servern verwendet, die zuvor von der israelischen Firma genutzt wurden, sagt Marczak in Hamburg.
Auf verschiedene Anfragen, zum Beispiel vom Forbes-Magazin, betont die Firma, dass sie keine Spionagesoftware im Einsatz betreibe, sondern lediglich verkaufe - und zwar ausschließlich an Regierungen, die vertraglich zusichern, die Programme nur zur Verbrechensbekämpfung einzusetzen.
Gesundes Misstrauen hilft
Die NSO Group hat den Analysen zufolge gleich drei "zero-day-exploits" eingesetzt. Mit dem ersten konnten die Angreifer das sogenannte Sandboxing des Safari-Browsers zu umgehen. Das Programm hat eine Absicherung, quasi einen virtuellen Sandkasten. Nur innerhalb seiner Grenzen kann Code ausgeführt werden, um den Rest des Systems zu schützen. Die Lücke brachte Safari zum Absturz - und riss dabei die Grenze ein.
Mit dem zweiten "zero day" suchten die Angreifer gezielt nach dem Kernel. In modernen Systemen wird dieser nämlich stets an einer anderen Stelle im Arbeitsspeicher gelagert. Dieses Versteckspiel erschwert es, den Kernel zu orten. Der dritte Exploit deaktivierte schließlich sämtliche Schutzmechanismen. Zwei kurze Gerade, ein Kinnhaken. Das iPhone sollte nun offenstehen für den Zugriff aus der Ferne. Von da an wäre es möglich gewesen, die Gespräche mitzuschneiden und vieles mehr.
Doch der bislang ausgetüftelteste Angriff auf das iPhone wurde verhindert. Mansour weigert sich einfach, den Link zu klicken. Sein Misstrauen rettet ihn.
