Pegasus: Spähsoftware auf iPhone 12 Pro entdeckt
Ein internationales Journalistenkonsortium deckte im Juli gemeinsam mit den Organisationen Forbidden Stories und Amnesty International in einer umfassenden Recherche auf, dass Aktivisten und Journalisten mit der Spionage-Software Pegasus überwacht wurden. 50.000 Telefonnummern aus etwa 50 Ländern standen auf einer Liste mit potenziellen Zielen . Durch forensische Analysen konnte Amnesty Lab Betroffene aufspüren, deren Geräte schließlich auch infiziert wurden. Nun veröffentlichte das Citizen Lab(öffnet im neuen Fenster) der Universität Toronto weitere Informationen zu dem Trojaner der israelischen NSO Group.
Die Forscher konnten neun bahrainische Aktivisten identifizieren, auf deren iPhones sich die Pegasus-Software fand. Fünf der Personen befanden sich auch auf der Liste, die das Journalistenkonsortium ausgewertet hatte. Bei einer der Infektionen habe NSO aktuelle Sicherheitsvorkehrungen auf iPhones aushebeln müssen, um das Gerät zu infizieren.
Der Betroffene, ein Aktivist des Bahrain Center for Human Rights, besaß ein aktuelles iPhone 12 Pro und wurde im Februar 2021 mit einem sogenannten Zero-Klick-Angriff infiziert. Dabei installiert sich die Schadsoftware auf dem Gerät, ohne dass die Zielperson etwa tun muss – beispielsweise auf einen Link in einer Nachricht klicken. Dafür nutzte NSO offenbar eine zuvor unbekannte Schwachstelle in Apples iMessage aus. So konnten sie eine Sicherheitsvorkehrung namens Blastdoor(öffnet im neuen Fenster) umgehen, die seit iOS-Version 14 genau solche Angriffe verhindern soll.
"Blastdoor" wurde durchbrochen
Citizen Lab gab dem Exploit den Namen "Forcedentry", er sei auch bei iOS-Version 14.6 aus dem Mai 2021 noch erfolgreich.
Blastdoor soll eigentlich verhindern, dass Schadcode aus iMessage-Inhalten ausbricht. Dafür werden Nachrichten zunächst in einer geschützten Sandbox entpackt. Laut Citizen Lab funktionierten nach der Einführung von Blastdoor frühere Exploits von NSO Group offenbar nicht mehr, weshalb die Ziele mit aktuellen iOS-Versionen zwischenzeitlich wieder SMS-Nachrichten mit Links erhielten, über die Schadsoftware verteilt werden sollte.
Citizen Lab informierte Apple über den möglichen neuen Infektionsweg. Das Unternehmen habe bestätigt, das Problem zu untersuchen. Techcrunch zitiert einen Sprecher des Unternehmens(öffnet im neuen Fenster) , der darauf verwies, dass Sicherheitsvorkehrungen in iOS 15 weiter gestärkt wurden. Die neue Betriebssystemversion wird voraussichtlich im Herbst verfügbar sein.
Unklar ist, wer hinter der Überwachung steckt
NSO Group selbst äußerte sich nicht detailliert zu den neuen Erkenntnissen von Citizen Lab und sagte, es habe die Ergebnisse noch nicht gesehen und würde untersuchen, ob sich "verlässliche Hinweise darauf ergeben würden, dass ihre Software missbraucht wird" . In der Vergangenheit berief sich das Unternehmen immer wieder darauf, dass es seine Technik nur an geprüfte Regierungen verkaufe , "mit dem alleinigen Ziel, durch Verhinderung von Verbrechen und Terrorakten Menschenleben zu retten" .
Bei vier der untersuchten Infektionsziele geht Citizen Lab mit hoher Wahrscheinlichkeit davon aus, dass die bahrainische Regierung hinter der Spähsoftware-Infektion steckt. Gegenüber Techcrunch bestritt ein Regierungssprecher die Vorwürfe und verwies darauf, dass die Regierung von Bahrain die Rechte und Freiheiten von Personen schütze. Seit mehreren Jahren gibt es immer wieder Berichte, dass die Regierung Oppositionelle und Aktivisten mit Spähsoftware überwacht(öffnet im neuen Fenster) .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.