Pegasus: Spyware auf Apple iPhones und iPads entlarvt

Sprach- und Videoanrufe konnten mitgehört werden, SMS und E-Mail mitgelesen und sogar Daten aus anderen Apps wie Whatsapp, Skype, Facebook konnten ausspioniert werden.
Entdeckt wurde die Malware, weil der Menschenrechtler Ahmed Mansur eine Nachricht bekam, die ihm seltsam erschien, und diese an befreundete Sicherheitsforscher weiterleitete. Lookout zufolge ist die Spyware schon seit mindestens zwei Jahren im Einsatz. Durch den gezielten Einsatz gegen bestimmte Personen blieb diese aber bislang unentdeckt. Laut Lookout steckt die israelische Firma NSO Group dahinter, die ein solches Spionageprodukt an Regierungen verkauft.

Infektionsweg

Die erste ausgenutzte Sicherheitslücke befand sich in Apples Safari. Mit dieser konnte beliebiger Code auf iOS Geräten ausgeführt werden. Mit der zweiten Lücke konnten Adressen von Kernelfunktionen im Speicher ausgelesen werden. Normalerweise werden diese Speicheradressen zufällig zugewiesen, was einen Angriff gegen eine Funktion erschwert. Mit der dritten Lücke konnte dann eben eine Lücke im Kernel ausgenutzt werden, mit der sich Code ausführen lies. Zwar konnte auch schon mit der ersten Lücke Code ausgeführt werden, allerdings nur in einer Sandbox – wie der Code jeder App. Erst durch die Kombination mit den beiden anderen Lücken konnte diese Sandbox umgangen und die Kommunikation abgehört werden. Um mit Pegasus infiziert zu werden war es also lediglich notwendig eine spezielle Webseite im Browser aufzurufen.

Funktionsweise

Pegasus hat sich so tief im Betriebssystem eingenistet, dass es die Kommunikation zwischen Kernel und Apps abfangen konnte. Deswegen war es ihr möglich auch eigentlich verschlüsselte Daten auszuspionieren. Für die eigentliche Datenverarbeitung liegen diese unverschlüsselt im RAM des Geräts. Apps können deshalb immer nur so sicher sein, wie das Betriebssystem darunter. Auch Containerlösungen hätten in diesem Fall nicht vor der Spionage geschützt. Eine Containerlösung soll Unternehmensdaten in einem verschlüsselten Container sicher von anderen Apps trennen. Unter iOS ist dies aber schon standardmäßig durch das Sandboxing implementiert. Apps haben keine Möglichkeit Daten auf der Festplatte oder im Speicher anderer Apps auszulesen. Allerdings hätte Pegasus auch den Speicher der Containerlösung auslesen können und somit die unverschlüsselten Unternehmensdaten. Das bedeutet aber nicht, dass verschlüsselte Kommunikation sinnlos ist, weil sie auf dem Gerät ausgehebelt werden kann. Ganz im Gegenteil: Gerade weil alle betroffenen Anwendungen verschlüsselt kommunizieren war es überhaupt notwendig soviel Aufwand in das Finden und Ausnutzen dieser Sicherheitslücken zu stecken.

Wie andere Malware/Spyware sendet Pegasus die gesammelten Daten an die Server der Betreiber. Dabei achtet Pegasus penibel darauf nicht entdeckt zu werden und passt sich der Smartphone-Nutzung des Betroffenen an. Ein erhöhter Akku- oder mobiler Datenverbrauch hätte schon früher die Aufmerksamkeit auf die Spyware gezogen.

iOS Security

Ist iOS jetzt unsicherer als zuvor? Diese und ähnliche Fragen tauchen im Zusammenhang mit Pegasus immer wieder auf. Apple selbst hätte auf den Vorfall nicht besser reagieren können. Am 15. August 2016 wurden sie auf die Lücken aufmerksam gemacht und 10 Tage später gab es schon ein iOS 9.3.5 Update, welches diese schließt. Durch Bekanntwerden der Lücken ist es jetzt aber umso wichtiger so schnell wie möglich ein Update auf die aktuellste iOS Version durchzuführen, da es so auch Nachahmer geben kann. Ein zeitnahes Update ist natürlich eine generelle Empfehlung, da auch in der Vergangenheit mit Updates viele Sicherheitslücken geschlossen wurden. 100-prozentige Sicherheit wird es nie geben. Weder auf iOS, noch Android, noch auf irgendeiner anderen Plattform. Die Messlatte wird nur immer höher gehängt. Triviale Angriffe sind kaum noch möglich. Die Ausnutzung dieser Lücken hat die Latte mit viel Aufwand gerissen. Zukünftig wird sie wieder ein Stück höher hängen.

Auf Seiten von Android würde die Situation bei Bekanntwerden einer solchen Lücke weitaus gravierender ausfallen. Der Androidmarkt ist stark fragmentiert: Es gibt viele Hersteller mit unterschiedlichen Geräten und unterschiedlicher Hardware. Wenn Google ein Update für Android freigibt, müssen der Prozessorhersteller, der Gerätehersteller und oft der Netzbetreiber Anpassungen ins eigentliche Android einpflegen und testen. So dauert es teilweise Monate bis wichtige Updates auf den Geräten landen. Oder sie erhalten im schlimmsten Fall seit Jahren keine Updates mehr.

Wie kann MDM schützen

Über eine Mobile Device Management Lösung könnte in diesem Fall zumindest das Update auf die aktuellste Version beschleunigt werden. Die meisten MDM-Lösungen bieten wenigstens eine Inventarisierungsfunktion, mit welcher der aktuelle Versionsstand der Geräte zentral verwaltet und kontrolliert werden kann.
Unsere eigene MDM-Lösung auralis verwendet zur Absicherung der Kommunikation zwischen Gerät und Groupware Clientzertifikate. Der private Schlüssel ist auf dem Gerät durch das eingebaute Hardware Security Module (HSM) geschützt. Der private Schlüssel ist also an das Gerät gebunden und kann nicht auf einem anderen Client benutzt werden.

Was lernen wir aus Pegasus?

• Es war trotzdem eine Benutzerinteraktion notwendig, die einem sensibilisierten Mitarbeiter verdächtig vorgekommen wäre.
• Starke Verschlüsselung hilft auch gegen Spionage durch Regierungen. Ansonsten wäre Pegasus nicht notwendig gewesen.
• iOS ist nichts desto trotz eine der sichersten mobilen Plattformen.