Pegasus-Schwachstelle: Sicherheitsforscher kritisieren Apple

Apple hat inzwischen detaillierte Informationen zu den mit den letzte Woche veröffentlichten Betriebssystem-Updates gestopften Sicherheitslücken veröffentlicht. Die Liste der behobenen Probleme ist außergewöhnlich umfangreich und legt die Installation der verfügbaren Aktualisierungen auf allen Geräten nahe.

Auf der Webseite Apple-Sicherheitsupdates findet sich eine Übersicht der aktuellen Systemversionen und von dort aus sind auch die zugehörigen detaillierten und gerätespezifischen Listen der Problembehebungen inklusive Informationen zu den damit verbundenen Gefahren abrufbar. Auch wenn bei keiner der mit den Aktualisierungen gestopften Schwachstellen vermerkt wird, dass deren aktive Ausnutzung bereits bekannt ist, ist ein Update zur Problembehebung sicher empfehlenswert.

Zu Pegasus hält sich Apple weiter bedeckt

Erwähnenswert, wenngleich wohl nicht überraschend ist die Tatsache, dass sich in den neu von Apple veröffentlichten Dokumenten keine Erwähnung der Spyware Pegasus findet. Apple hat bislang auch nicht bestätigt, dass seine Betriebssysteme keinen Schutz vor der Spionagesoftware bieten, sondern es lediglich bei einem allgemeinen Statement belassen, in dem darauf hingewiesen wird, dass keine Bedrohung für die Allgemeinheit bestehe und man zudem unermüdlich gegen solche Schwachstellen ankämpfe. Der Guardian zitiert Apple wie folgt:

Seit mehr als einem Jahrzehnt ist Apple führend in Sachen Sicherheitsinnovationen und als Ergebnis sind sich Sicherheitsforscher einig, dass das iPhone das sicherste mobile Endgerät auf dem Markt ist. Angriffe wie die beschriebenen sind sehr ausgeklügelt, kosten Millionen von Dollar in der Entwicklung, haben oft nur eine kurze Lebensdauer und zielen auf bestimmte Personen ab. Das bedeutet zwar, dass sie keine Bedrohung für die überwältigende Mehrheit unserer Benutzer darstellen, dennoch arbeiten wir weiter unermüdlich daran, alle unsere Kunden zu schützen, und wir fügen ständig neue Schutzmaßnahmen für ihre Geräte und Daten hinzu.

Zumindest ein Teil der von Apple zitierten Sicherheitsforscher reagiert auf dieses Selbstverständnis jedoch mit Kritik. Das verschlossene System hindere diese daran, Apple bei der Suche nach Schwachstellen zu unterstützen. Eine gängige Praxis, von der Unternehmen wie Microsoft längst Gebrauch machen. Der Windows-Konzern hält das Credo der Zusammenarbeit hoch und lobt die Unterstützung der Sicherheitsforscher, mit deren Hilfe man Schwachstellen auffinden und stopfen könne, was letztendlich allen Nutzern zugute käme.

iMessage-Lücke macht Pegasus-Spionage möglich

Auf dem iPhone nutzt Pegasus offenbar eine Schwachstelle in Apples iMessage-System aus. Den Berichten zufolge genügt dabei eine vom Benutzer unbemerkte Nachricht, die auch keinerlei Interaktion erfordere, um auf umfassende private Inhalte der Zielperson zugreifen zu können, darunter die persönliche Kommunikation sowie Fotos und Videos bis hin zum Live-Zugriff auf das Mikrofon und die Kamera.

Als einzig „positive“ Nachricht bleibt zu vermelden, dass man die Wahrscheinlichkeit, dass ein „gewöhlicher“ iPhone-Nutzer von den Attacken betroffen ist, als außerordentlich gering einstufen kann. Der damit verbundene hohe Aufwand hat zur Folge, dass die dahinterstehenden Regierungen oder Organisationen ihre Spionageaktivitäten gezielt auf ausgewählte Personen ausrichten – im aktuellen Fall insbesondere Menschenrechtler, politische Aktivisten und Journalisten. Für Apple sollte jedoch auch dies schon Grund genug sein, über die Verwendung plakativer Sprüche wie „What happens on your iPhone, stays on your iPhone“ nachzudenken.

Die beteiligten Organisationen haben übrigens ein Prüfwerkzeug bereitgestellt, mit dessen Hilfe sich Backups eines iOS-Geräts auf das Vorhandensein der Spionagesoftware überprüfen lassen.