NSO Pegasus: Mit der Logikgatter-VM im Fax-Algorithmus zum Trojaner

Der Trojaner-Hersteller NSO hat technisch extrem weit fortgeschrittene Fähigkeiten. Das zeigt eine Pegasus-Analyse von Googles Project Zero.

Artikel veröffentlicht am ,
Der Pegasus-Trojaner der NSO Group ist technisch sehr anspruchsvoll.
Der Pegasus-Trojaner der NSO Group ist technisch sehr anspruchsvoll. (Bild: FRANCOIS GUILLOT/AFP via Getty Images)

Das Project Zero von Google sucht nicht nur selbst nach Sicherheitslücken, sondern untersucht auch aktiv eingesetzte Malware. In einer aktuellen Analyse des Pegasus-Trojaners der NSO-Group zeigt das Project-Zero-Team dabei, wie weit fortgeschrittenen die technischen Fähigkeiten des Herstellers sind und dass die Trojaner-Entwickler offenbar extrem viele Ressourcen für die Entwicklung eines Exploits verwenden können, der ohne Nutzerinteraktion funktioniert - ein sogenannter Zero-Click-Angriff. Zuvor mussten für erfolgreiche Angriffe zum Beispiel noch Links in SMS angeklickt werden. Die nun durchgeführte Analyse überrascht selbst die Spezialisten vom Project Zero.

Inhalt:
  1. NSO Pegasus: Mit der Logikgatter-VM im Fax-Algorithmus zum Trojaner
  2. Logikgatter im Turing-vollständigen Fax-Algorithmus

Im konkreten Fall haben die Beteiligten den Trojaner-Code untersucht, den Citizen Lab bereitgestellt hat. Forscher des Citizen Lab der Universität Toronto waren bei der Analyse des Smartphones eines saudi-arabischen Aktivisten auf die Sicherheitslücke (CVE-2021-30860) gestoßen und hatten sie an Apple gemeldet. Das Gerät sei mit der Überwachungssoftware Pegasus der israelischen Firma NSO infiziert gewesen, berichtete Citizen Lab. Die Forcedentry genannte Sicherheitslücke soll mindestens seit Februar 2021 ausgenutzt worden sein. Citizen Lab hatte die Nutzung der Trojaner der NSO Group zuvor bereits als "Staatsterror" bezeichnet.

Die von Google beschriebene Lücke hat Apple am 13. September 2021 in iOS 14.8 geschlossen. Als Finder der Lücke nennt Apple in den Sicherheitsnotizen dazu explizit Citizen Lab. Darüber hinaus sei zwar der Exploit-Code, dessen Vorgehen das Team nun beschreibt, auf die Ausnutzung von Sicherheitslücken auf iPhones ausgerichtet. Das Google-Team schreibt jedoch, die NSO-Group habe mit Pegasus auch ähnliche Techniken für Android.

Vom GIF, zum PDF, zum Fax

Grundlage des Zero-Click-Angriffs ist, dass Apples iMessage als Ziel zum Unterschieben des Trojaners gewählt wird. Das ist insofern nachvollziehbar, weil für den Angriff dann lediglich die Handy-Nummer oder die Apple-ID des Opfers bekannt sein muss. Apples iMessage unterstützt darüber hinaus die Darstellung von GIF-Dateien standardmäßig.

Stellenmarkt
  1. IT Servicetechniker (w/m/d)
    Bechtle ISD GmbH & Co.KG, Schloß Holte-Stukenbrock, Neckarsulm, Ulm
  2. Data Steward / Master Data Manager (m/w/d)
    ZIEHL-ABEGG SE, Künzelsau
Detailsuche

Diese GIFs werden von Apple in einer Schleife dargestellt, statt diese nur einmal abzuspielen. Sämtliche Dateien mit der Endung .gif werden dazu noch vor der Darstellung in einen bestimmten Prozess ausgelagert, der die Datei nicht nur einfach kopiert, sondern mit Hilfe der Core-Graphics-API die Ausgangsdatei als neues GIF am Zielpfad rendert.

Die dazu genutzte I/O-Bibliothek versucht dabei, das eigentliche Dateiformat zu erkennen, statt sich auf die Korrektheit der Endung zu verlassen. So wird eine Datei mit einer gefälschten .gif-Endung plötzlich auch als eines von mehr als 20 anderen Dateiformaten untersucht. Im Fall des untersuchten Trojaners wird so ein PDF als fingiertes GIF verschickt, das iOS dann direkt untersucht.

Für den letztlich erfolgreichen Angriff nutzt Pegasus dann eine Sicherheitslücke im Parser für einen eher obskuren und vor allem sehr alten Teil des PDF-Standards. Dabei handelt es sich um den Kompressionsalgorithmus JBIG2, der zusätzlich zu PDFs auch im Fax zum Einsatz kommt und aus einer Zeit stammt, in der kaum Bandbreite zur Verfügung stand. Bekanntheit erlangte JBIG2 dadurch, dass auf bestimmten Geräten beim Scannen eines Dokuments als PDF Zahlen in dem Dokument vertauscht werden. Und das ist offenbar bei weitem nicht das einzige Problem mit JBIG2, wie nun die Analyse zeigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Logikgatter im Turing-vollständigen Fax-Algorithmus 
  1. 1
  2. 2
  3.  


lunarix 17. Dez 2021

Aber es ist ja kein .gif - nur weil etwas eine bestimmte Dateiendung hat, heisst das ja...

flasherle 17. Dez 2021

Ich frage mich bei solchen Dingen immer, welcher Entwickler lässt sich für so etwas...

minnime 17. Dez 2021

Vor allem die Aneinanderreihung ist interessant. Die Geschichte mit den Gifs zu finden...

lunarix 17. Dez 2021

Vielleicht sollten sie dies. Vergessen sollte man dabei aber nicht, dass Apple bereits...



Aktuell auf der Startseite von Golem.de
Manipulierte Ausweise  
CCC macht Videoident kaputt

Hinter dem Stopp von Videoident-Verfahren bei den Krankenkassen steckt ein Hack des Chaos Computer Clubs. Der Verein fordert weitere Konsequenzen.

Manipulierte Ausweise: CCC macht Videoident kaputt
Artikel
  1. Nürburgring: Porsche Taycan erzielt Rekord auf Nordschleife
    Nürburgring
    Porsche Taycan erzielt Rekord auf Nordschleife

    Ein serienmäßiger Porsche Taycan Turbo S hat einen Rekord für die schnellste Durchfahrt der Nordschleife des Nürburgrings erzielt.

  2. Peripheriegeräte: Mechanische Tastatur hat integrierten 12,6-Zoll-Touchscreen
    Peripheriegeräte
    Mechanische Tastatur hat integrierten 12,6-Zoll-Touchscreen

    Die Ficihp K2 kann über USB-C als Tastatur und zusätzlicher Bildschirm genutzt werden - mit mechanischen Schaltern und USB-Hub.

  3. Datenschutz bei Whatsapp etc.: Was bei Messengerdiensten zu beachten ist
    Datenschutz bei Whatsapp etc.
    Was bei Messengerdiensten zu beachten ist

    Datenschutz für Sysadmins In einer zehnteiligen Serie behandelt Golem.de die wichtigsten Themen, die Sysadmins beim Datenschutz beachten müssen. Teil 1: Whatsapp & Co.
    Eine Anleitung von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Samsung SSD 2TB Heatsink (PS5) 219,99€ • ebay Re-Store bis -50% gg. Neupreis • Grafikkarten zu Tiefpreisen (Gigabyte RTX 3080 12GB 859€) • MSI-Sale: Gaming-Laptops/PCs bis -30% • Sharkoon PC-Gehäuse -53% • Philips Hue -46% • Der beste Gaming-PC für 2.000€ [Werbung]
    •  /