Pegasus knackt iOS: Hintergründe zur beispiellosen iPhone-Schwachstelle
Inzwischen steht fest: Die gestern Abend ausgegeben iOS-Aktualisierung auf Version 9.3.5 sichert eure Mobilgeräte nicht etwa gegen amoklaufende Reklamebanner oder mögliche Abstürze eures Safari-Browsers – mit dem System-Update schließt Apple drei aktiv ausgenutzte System-Schwachstellen, die allein durch den Besuch einer entsprechend vorbereiteten Webseite eine komplette Geräte-Übernahme ermöglichten.
Spionage-Software Pegasus
Noch schlimmer: Nach Recherchen der Security-Forscher von „Lookout“ wurden die Schwachstellen bereits ausgenutzt um gegen Menschenrechtler und Journalisten vorzugehen.
Jetzt gibt es ergänzende Informationen zur Funktionsweise des Hacks, der unter anderem von der israelischen Firma NSO Group in kommerziellen Spionage-Produkten angeboten wurde. So hat nicht nur Apple seine Übersicht auf die nun abgedichteten Angriffsvektoren im Kernel und im Webkit-Framework veröffentlicht, auch das auf „Mobile Security“ spezialisierte IT-Unternehmen Lookout widmet sich dem Spionage-Werkzeug „Pegasus“, das die drei Lücken (wohl schon seit iOS 7) zur Übernahme kompletter Geräte einsetzte.
Die wichtigsten Links zum Thema
- iOS 9.3.5: Apples CVE-Übersicht
- Die Security-Forscher von „Lookout“ analysieren „Pegasus“
- PDF: Technical Analysis of Pegasus Spyware
- Motherboard beschreibt den Angriff auf Ahmed Mansoor
- Bürgerrechtler von CitizenLab erklären das Ausmaß des Exploits
iPhone-Übernahme mit Web-Link
Um es kurz zu machen: Die Pegasus-Software der israelischen NSO Group wurde unter anderem gezielt auf Ahmed Mansoor angesetzt. Dieser erhielt einen Web-Link per iMessage (mit gefälschter Nummer), der die Geräte-Übernahme nach dem Klick in Gang gesetzt hätte. Anstatt den Link zu aktivieren leitete der die Kurznachricht jedoch an das CitizenLab weiter und ermöglichte so die Analyse der Spionage-Software:
Instead of clicking, Mansoor sent the messages to Citizen Lab researchers. We recognized the links as belonging to an exploit infrastructure connected to NSO Group, an Israel-based “cyber war” company that sells Pegasus, a government-exclusive “lawful intercept” spyware product. NSO Group is reportedly owned by an American venture capital firm, Francisco Partners Management.
The ensuing investigation, a collaboration between researchers from Citizen Lab and from Lookout Security, determined that the links led to a chain of zero-day exploits (“zero-days”) that would have remotely jailbroken Mansoor’s stock iPhone 6 and installed sophisticated spyware. We are calling this exploit chain Trident. Once infected, Mansoor’s phone would have become a digital spy in his pocket, capable of employing his iPhone’s camera and microphone to snoop on activity in the vicinity of the device, recording his WhatsApp and Viber calls, logging messages sent in mobile chat apps, and tracking his movements.
