Pegasus

So kam die Spionage-Software aufs iPhone

26.08.2016
, 08:24
Ein Ausspäh-Programm hat sich weitreichenden Zugang zu iPhones verschafft. Wie konnte das passieren? Hier kommt die Erklärung.

Womöglich ist nun das Unmögliche eingetreten: Eine Software hat sich auf einem iPhone eingenistet und den Besitzer ausspioniert. Dies galt bisher unter Experten als nicht denkbar. Zuletzt versuchte sich die amerikanische Bundespolizei FBI daran, ein iPhone zu knacken - was den Behörden angeblich nach mehreren Wochen gelang. Das FBI hatte sich Hilfe von einer „außenstehenden Partei“ geholt. Mehrere Medien berichteten, dass es sich dabei um das israelische Unternehmen Cellebrite handelte.

Nun soll es die Software „Pegasus“ geschafft haben, sich einen beispiellosen Zugriff auf iPhones zu verschaffen. Forscher haben sie allerdings entdeckt und analysiert. Ein Ergebnis: Das Spionage-Programm griff nach Erkenntnissen der IT-Sicherheitsfirma Lookout und des kanadischen Citizen Lab nacheinander drei bisher unbekannte Software-Schwachstellen an. Diese wurden im Übrigen mit dem Update der Version 9.3.5, die es seit Donnerstag für iPhone, iPad und iPod gibt, von Apple behoben.

Wer sein Gerät auf aktuellem Stand hat, ist also sicher. Dass die Schadsoftware schon bei jemanden auf dem iPhone installiert ist, ist unwahrscheinlich, da es sich wohl um eine gezielte Aktion handelt. Denn der Menschenrechtsaktivist, der sein iPhone im Verdacht hatte, mit Schadsoftware infiziert zu sein und der Sicherheitsfirma übergeben hat, bekam eine SMS mit dem verdächtigen - und letztlich gefährlichen - Link, der einen inhaltlichen Bezug zu seiner Arbeit hatte.

„Pegasus“
Schadsoftware bedroht Millionen iOS-Geräte
© dpa, reuters

Das Herzstück des iPhone-Betriebssystems

Wie ist das passiert? Über eine Sicherheitslücke in Apples Web-Browser Safari konnte beliebiger Software-Code ausgeführt werden. Ruft man somit eine Webseite über eine Adresse auf, wird diese nicht nur dargestellt, sondern der Aufruf führt auch dazu, dass weitere Befehle ausgeführt werden. Die Angreifer nutzten dies, um die Angriffs-Elemente von „Pegasus“ auf das Gerät zu laden. Um das auszulösen, genügt es, einen präparierten Link anzuklicken. Das einzige ungewöhnliche Verhalten für den Nutzer war, dass sich die Safari-App schloss.

Das ist ein übliches Verfahren von Kriminellen, um auf Desktops Schadsoftware zu schmuggeln, ohne dass es der Nutzer merkt. Unter Fachleuten wird es „Drive-by-Download“ genannt. Für dieses Verfahren wird normalerweise eine neue Webseite präpariert oder eine bestehende manipuliert, sodass allein das Anklicken dieser Homepage dazu führt, dass sich eine Software unbemerkt herunterlädt.

Die inzwischen auf dem Gerät aktive „Pegasus“-Software spürte dank der zweiten Sicherheitslücke das von Apple eigentlich versteckte Herzstück des iPhone-Betriebssystems iOS, den sogenannten Kernel. Er ist ein Schlüsselelement für die Sicherheit der Geräte, denn: Der Kernel liegt dem Betriebssystem zugrunde. Sie kooperiert direkt mit der Hardware, indem sie Schnittstellen zum Prozessor, Speicher oder Gerät selbst bildet.

Über eine Schwachstelle im Kernel selbst sicherte sich „Pegasus“ weitreichenden Zugriff auf das iPhone. Das Spionage-Programm führte heimlich einen sogenannten „Jailbreak“ durch. So wird der Prozess bezeichnet, bei dem ein iPhone von den von Apple vorgesehenen Einschränkungen befreit wird.

Einige Nutzer machen das übrigens selbst, um mehr Software installieren und das Gerät freier konfigurieren zu können. Auch bei Smartphones mit Android-Betriebssystem ist es beliebt, sich die Root-Rechte zu verschaffen, um Anwendungen jenseits des Play-Stores herunterladen und installieren zu können. Damit fallen aber auch die Hürden für Attacken. So auch hier: Nach dem unerkannten „Jailbreak“ konnte „Pegasus“ Überwachungs-Software hinzufügen.

Quelle: made. mit dpa
  Zur Startseite
Verlagsangebot
Verlagsangebot