Mächtige Spyware auf iPhone, iPad und iPod im Einsatz

iPhone galten lange als sehr sicher. Ein Trugschluss?
Bild: dpa Experten sprechen von der "ausgeklügeltsten Attacke", die sie je auf einem Gerät gesehen haben: Ein Spionage-Programm verschaffte sich dank Software-Schwachstellen weitreichenden Zugang zu iPhones. Ein Rückschlag für Apple, das mit der Sicherheit seiner Geräte wirbt, während Android und Windows häufig vorgeworfen wird, dass sie zu unsicher seien.

Gleich drei Schwachstellen in iOS

iPhone galten lange als sehr sicher. Ein Trugschluss?
Bild: dpa Eine neu entdeckte Spionage-Software hat drei iPhone-Schwachstellen ausgenutzt, um sich weitreichenden Zugriff auf die Geräte zu verschaffen. Nach Erkenntnissen von Sicherheitsforschern wurde das Programm auch gegen Menschenrechtler und Journalisten eingesetzt. Apple stopfte die Sicherheitslücken im iPhone-System iOS gestern - rund zwei Wochen nach dem ersten Verdacht. Alle potentiell bedrohten Geräte sollten also schnellstmöglich auf die neueste Software-Version aktualisiert werden. Experten zufolge steckt hinter dem Programm, das von ihnen "Pegasus" genannt wurde, ein Unternehmen aus Israel.

Der IT-Sicherheitsfirma Lookout zufolge konnte das Spionage-Programm Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers aufzeichnen - hatte also Vollzugriff auf die betroffenen Geräte. Es ist außergewöhnlich, dass eine Software zur Überwachung von iPhones mit derartigen Fähigkeiten, die meist nur Geheimdiensten zugeschrieben werden, entdeckt und analysiert werden konnte.

Infizierung in drei Schritten über schadhaften Link

Aufgefallen sei das Schadprogramm, als der Menschenrechtler Ahmed Mansur Verdacht bei einer Nachricht mit einem Link zu angeblichen Informationen über Folter von Häftlingen in den Vereinigten Arabischen Emiraten geschöpft habe, erklärten die Experten. Statt den Link anzuklicken, habe er die Forscher eingeschaltet. Sie gaben dem entdeckten Überwachungsprogramm den Namen "Pegasus".

In drei Schritten erhielt die Software Zugriff auf Daten auf den Apple-Geräten: Auch eine Sicherheitslücke in Safari wurde ausgenutzt, um Zugriff zu erlangen
Bild: dpa

1. Über eine Sicherheitslücke in Apples Web-Browser Safari konnte beliebiger Software-Code ausgeführt werden. Die Angreifer nutzten dies aus, um die Angriffs-Elemente von "Pegasus" auf das Gerät zu laden. Um das auszulösen, genügt es, einen präparierten Link anzuklicken. Das einzige ungewöhnliche Verhalten für den Nutzer war, dass sich die Safari-App schloss.
2. Die inzwischen auf dem Gerät aktive "Pegasus"-Software spürte dank der zweiten Sicherheitslücke das von Apple eigentlich versteckte Herzstück des iPhone-Betriebssystems iOS auf, den sogenannten Kernel. Er ist ein Schlüsselelement für die Sicherheit der Geräte.
3. Über eine Schwachstelle im Kernel selbst sicherte sich "Pegasus" weitreichenden Zugriff auf das iPhone. Das Spionage-Programm führte heimlich einen sogenannten "Jailbreak" durch - so wird der Prozess bezeichnet, bei dem ein iPhone von den von Apple vorgesehenen Einschränkungen befreit wird. Einige Nutzer machen das selbst, um mehr Software installieren und das Gerät freier konfigurieren zu können. Damit fallen aber auch die Hürden für Attacken. So auch hier: Nach dem unerkannten "Jailbreak" konnte "Pegasus" Überwachungs-Software nach Belieben hinzufügen.

Die Sicherheitslücke könnte das Image von Apple schwer beschädigen.
Bild: dpa

"Pegasus" extrem fortgeschritten

"Pegasus ist die ausgeklügeltste Attacke, die wir je auf einem Endgerät gesehen haben", resümierte Lookout. Das Programm profitiere davon, dass mobile Geräte tief in den Alltag integriert seien. Zudem vereinten sie eine Vielzahl an Informationen wie Passwörter, Fotos, E-Mails, Kontaktlisten, GPS-Standortdaten. Die Spionage-Software sei modular aufgebaut und greife auf Verschlüsselung zurück, um nicht entdeckt zu werden.

Tatsächlicher Schaden unklar

Das kanadische Citizen Lab fand auch Hinweise darauf, dass ein mexikanischer Journalist und bisher nicht näher bekannte Zielpersonen in Kenia mit Hilfe von "Pegasus" ausgespäht worden seien. Insgesamt blieb jedoch zunächst unklar, wie breit sie eingesetzt worden sein könnte. So weiß man aktuell noch nicht, wie lange die Malware überhaupt im Einsatz war.

Wurde "Pegasus" in Israel programmiert?

Den Experten zufolge steckt hinter dem Programm ein Unternehmen aus Israel, das von einem Finanzinvestor übernommen wurde und als eine Art Cyberwaffen-Händler gelte. Ein Sprecher der Firma NSO Group erklärte der "New York Times", man verkaufe nur an Regierungsbehörden und halte sich streng an Ausfuhrbestimmungen. Er wollte keine Angaben dazu machen, ob Software des Unternehmens in den Vereinigten Arabischen Emiraten oder in Mexiko im Einsatz sei.

Update schließt Lücke - Apple ist angeschlagen

Die von Apple veröffentlichte iOS-Version 9.3.5. ist für iPhones, iPad-Tablets und den Multimedia-Player iPod touch gedacht. Für den Konzern ist das Spionageprogramm ein schmerzlicher Dämpfer: Die Sicherheit der Geräte ist ein wichtiger Pfeiler des Apple-Marketings und der Konzern investiert viel in Verschlüsselung und andere Sicherheitsmechanismen.

Sogenannte "Zero Day"-Sicherheitslücken, die dem Anbieter einer Software nicht bekannt sind, werden von Geheimdiensten und kriminellen Hackern genutzt. Auch der Computer-Wurm "Stuxnet", der das iranische Atomprogramm sabotierte, griff mehrere solcher Lücken an. "Zero Day"-Schwachstellen in iPhones werden teuer gehandelt. Dass "Pegasus" gleich drei von ihnen nutzte, ist deshalb relativ ungewöhnlich. Verantwortlich für die Spionage-Software waren vermutlich keine privaten Hacker, sondern eine Firma aus Israel.
Bild: dpa

Deshalb ist der Hack so bedeutend

Auf Smartphones sammeln sich inzwischen immer mehr Informationen zu unserem gesamten Leben: Kontakte, Aufenthaltsorte, Kontodaten, Gesundheitswerte. Ein Spionage-Software für iPhones mit beispiellosen Fähigkeiten ist eine akute Warnung vor den Risiken dieses Trends. Dass alle mögliche Kommunikation überwacht wird, wusste man spätestens seit den NSA-Enthüllungen von Edward Snowden vor drei Jahren.

Doch auch in dieser Welt schienen zumindest moderne Smartphones dank strikter Vorsichtsmaßnahmen der Anbieter ein Bollwerk der Sicherheit zu sein. Vor allem Apple machte den Datenschutz bei seinen iPhones und das Vertrauen der Nutzer zu einem Verkaufsargument - auch wenn Microsoft und Google ebenfalls stark in die Sicherheit der eigenen Okösysteme investieren. Eine neu entdeckte Spionage-Software mit beispiellosen Fähigkeiten stellt dieses Vertrauen auf die Probe.

Denn an allen Sicherheitsmaßnahmen vom Fingerabdruck-Sensor bis zum "Secure-Element"-Datentresor auf dem Chip vorbei konnte sich das von Experten auf den Namen "Pegasus" getaufte Programm in den iPhones einnisten und auf breiter Front Daten abgreifen. Dafür nutzte sich gleich drei bisher unbekannte Schwachstellen in Apples Software aus -erst eine im Safari-Webbrowser und dann zwei im Kernel des Mobil-Betriebssystems iOS.

Apple stopfte diese Sicherheitslücken mit einem Update nach zehn Tagen Entwicklung - sehr schnell für die Branche. Eine Aktualisierung für Android hätte unter Umständen wesentlich mehr Zeit benötigt, da neben Google auch noch die Smartphonehersteller in den Updateprozess eingebunden sind. Doch die Unsicherheit ist gesät. Auf den Smartphones lagern immer Daten zu unserem gesamten Leben: Privateste Kommunikation, Bilder, Kontoinformationen, Gesundheitswerte, Passwörter und vieles mehr. Erst durch Edward Snowden ist der Welt klar geworden, wie weit staatliche Überwachung und Spionage geht. Doch Smartphones, gerade von Apple, galten trotzdem lange Zeit als sehr sicher. Ein Irrtum?
Bild: dpa

Die Unsicherheit bleibt

Und moderne Smartphone-Systeme sind komplexe Gebilde mit Millionen Zeilen Software-Code. Wie viele solcher Schwachstellen könnten da noch drinstecken? Wie viele werden auf ähnliche Weise ausgenutzt? Wie lange war "Pegasus" bereits im Einsatz? Nach Erkenntnissen der IT-Sicherheitsfirma Lookout, die das Spionage-Programm eingehend untersuchte, konnte "Pegasus" alle Versionen des iPhone-Betriebssystems ab dem vor drei Jahren eingeführten iOS 7 befallen - also auf fast allen aktuell genutzten Apple-Geräten eingesetzt werden.

Die Software könne Anrufe mitschneiden, Aufenthaltsorte verfolgen, Kontaktlisten einsehen, E-Mails lesen sowie Daten von Facebook und Kommunikationsdiensten wie WhatsApp, Skype, Telegram, Viber oder WeChat abgreifen. Er habe nicht viele Angriffe gesehen, die so professionell und ausgeklügelt gestaltet wurden, sagte Lookouts Chef-Forscher Mike Murray dem Technologie-Blog "TechCrunch".

Dass unter anderem Geheimdienste grundsätzlich auf bisher unbekannte Schwachstellen setzen, um Geräte aufzuknacken, war spätestens seit Snowdens Enthüllungen geläufig. Mit "Pegasus" gibt es nun die bisher einmalige Gelegenheit, eine solche Software zu sezieren. Zugleich blüht ein reger Handel mit Software-Schwachstellen. Erst vor einigen Monaten sorgte eine Firma für Aufsehen, die eine Million Dollar für eine "Zero Day"-Lücke beim iPhone bot - so werden Fehler genannt, die dem Anbieter noch unbekannt sind und deswegen erstmal frei ausgenutzt werden können.

Auch Apple ist nicht perfekt

Apple, das sich lange dagegen gesträubt haben soll, eine Belohnung für gefundene Schwachstellen zu zahlen (wohl auch, da dies implizit bestätigen würde, dass es auch in iOS und MacOS Sicherheitslücken gibt), bietet seit einigen Wochen bis zu 50 000 Dollar für die Aufdeckung von Lücken im Betriebssystem an. Unter anderem der US-Geheimdienst NSA sucht gezielt nach solchen "Zero-Day"-Schwachstellen und hortet sie oft, auch wenn in den USA ein Regierungsgremium regelmäßig darüber entscheidet, ob sie im Interesse der Öffentlichkeit den Anbietern gemeldet werden sollten. Denn Einfallstore für Geheimdienste könnten auch die Tür für Kriminelle öffnen, wenn sie von ihnen entdeckt werden, warnen Sicherheitsexperten immer wieder.