Behörden mehrerer Länder haben jahrelang iOS-Nutzer gezielt ausgespäht

Mehrere Zero-Day-Lücken haben es über mehrere Jahre möglich gemacht, iPhones durch gezielte Angriffe zu kompromittieren. Regierungsbehörden verschiedener Länder nutzten Exploits, um mithilfe bisher nicht bekannter Schwachstellen die Smartphones von Nutzern zu übernehmen, ohne dass diese es bemerkten. Das brachte die Forschungsgruppe Citizen Lab der kanadischen University of Toronto in Erfahrung. Die technischen Details der Pegasus-Spyware hat Lookout in einem ausführlichen Whitepaper beschrieben.

Die beiden arbeiteten mit Apple zusammen, dass die drei Lücken mit iOS 9.3.5 nun behoben hat. Im Einsatz war die sie ausnutzende Spyware aber offenbar schon über erstaunlich lange Zeit, wie eine Code-Analyse zeigte. Eine Kernel-Mapping-Tabelle beispielsweise enthielt Werte, die bis zu iOS 7 zurückreichten. Eine Update auf die aktuellste Version von Apples Mobilbetriebssystem ist daher anzuraten.

Die Entdecker bezeichnen die Spyware als Pegasus. Sie sehen in ihr die raffinierteste Attacke, die bislang bei einem Endgerät beobachtet wurde. Pegasus ist modular und nutzt starke Verschlüsselung, um eine Entdeckung zu vermeiden. Zur Kompromittierung von iPhones kam eine Angriffskette zum Einsatz, die drei bislang unbekannte Sicherheitslücken nutzte. Die in hohem Maße konfigurierbare Software erlaubt eine umfangreiche Ausspähung des Opfers. Sie kann unter anderem auf Nachrichten, Anrufe, E-Mails, Protokolldateien und mehr von gängigen und weit verbreiteten Apps zugreifen. Die Malware scheint auch nach einem Update des Betriebssystems dauerhaft fortzubestehen und kann sich selbst aktualisieren, um neue Exploits zu nutzen.

Entdeckt wurde die Spyware, weil die Vereinigten Arabischen Emirate (VAE) mit ihr den prodemokratischen Regierungskritiker Ahmed Mansoor auszuspähen versuchten. Da der international bekannte Menschenrechtler wiederholt ähnlichen Angriffen mit von FinFisher und Hacking Team gelieferten Regierungstrojanern ausgesetzt war und für seine politische Haltung auch schon selbst inhaftiert war, wurde er misstrauisch, als ihn Textnachrichten mit Links erreichten. Sie versprachen ihm Enthüllungen über Menschen, die in den Gefängnissen des Landes gefoltert wurden.

Statt auf einen Link zu klicken, schickte Mansoor Screenshots und die URL an Forscher des Citizen Lab. Diese luden die URL mit einem auf den Werkszustand zurückgesetzten iPhone 5 , das mit iOS 9.3.3 lief. Daraufhin öffnete sich eine leere Seite, die sich rund zehn Sekunden später wieder schloss. Die weitere Beobachtung der mit dem Gerät versandten und empfangenen Daten zeigte ihnen jedoch, wie der Angriff ablief und von wo er ausging.

Die Angriffskaskade nutzt zuerst eine Lücke in der Safari-Engine WebKit und dann einen Fehler im Kernelschutz, um sodann eine Korruption des Kernelspeichers auszunutzen und das Mobiltelefon mit einem Jailbreak zu entsperren. Damit erlangt sie Rootrechte und kann das Gerät vom Nutzer unbemerkt übernehmen.

Als Entwickler der Software identifizierten die Sicherheitsforscher das israelische Start-up-Unternehmen NSO Group, das 2010 von einer Investmentfirma in den USA übernommen wurde. NSO werden “Cyberkrieg”-Aktivitäten zugeschrieben. Citizen Lab fand Hinweise darauf, dass ihre Spyware unter anderem auch in Kenia sowie gegen einen mexikanischen Journalisten zum Einsatz kam, der über eine Korruptionsverwicklung des Staatschefs von Mexiko berichtete.

NSO selbst gibt an, seine Software ausschließlich an Regierungen zu verkaufen und nichts von den entdeckten Angriffen auf Menschenrechtler und Journalisten zu wissen. “Wenn Regierungen Malware nutzen und Schwachstellen bevorraten, belastet das auch die übrige Gesellschaft”, zitiert die Washington Post dazu Chris Soghoian, den Technologieexperten der Bürgerrechtsorganisation ACLU. “Es ist ja nicht so, dass Terroristen andere Mobiltelefone nutzen als alle übrigen.”