Spionage-Software: Pegasus-Spyware kann auch iOS 16 befallen

Nach neuesten Erkenntnissen von Citizen Lab kann die Überwachungssoftware Pegasus der NSO Group über drei Zero-Click-Exploits Geräte mit iOS 15 befallen, über zwei der Lücken bietet auch das aktuelle iOS 16 Angriffsvektoren. Der mit iOS 16 eingeführte Lockdown-Modus soll aber einen ausreichenden Schutz bieten.

Das zur Universität Toronto gehörende Institut geht davon aus, dass im vergangenen Jahr seitens NSO mindestens drei Zero-Click-Exploits für iOS 15 und iOS 16 gegen „zivilgesellschaftliche Ziele“ auf der ganzen Welt zum Einsatz gekommen sind, wobei die letzte, „PWNYOURHOME“ genannte Kette im Oktober 2022 verwendet wurde. Spuren der Angriffe wurden laut Citizen Lab unter anderem auf den iPhones zweier mexikanischer Menschenrechtler gefunden.

Neuartige Vorgehensweise

Den Experten zufolge soll es sich dabei um einen neuartigen zweistufigen Angriff handeln, wobei jeder Schritt auf einen anderen Prozess auf dem iPhone abziele. Bei „PWNYOURHOME“ nahm der erste Schritt HomeKit und den Systemprozess Home ins Auge, die zweite gefundene Methode „FINDMYPWN“, die ab Juni 2022 gegen iOS 15 eingesetzt wurde, setzte dagegen an der „Wo ist“-Funktion des iPhones an. Bei beiden Methoden wurde durch den Download eines Bildanhangs in iMessage ein Absturz im zugehörigen Prozess „MessagesBlastDoorService“ ausgelöst, um dadurch den Schadcode auszuführen. Die Lücke besaß vor allem deswegen ein hohes Gefahrenpotenzial, weil der Nutzer für diese Apple Home weder einrichten noch nutzen musste.

Apple regelt nach

Im Oktober fand durch Citizen Lab die erste Kontaktaufnahme mit Apple zur Übermittlung der bisherigen Untersuchungsergebnisse statt, im Januar folgten weitere Erkenntnisse, was Apple dazu veranlasste mehrere Sicherheitsverbesserungen für HomeKit zu implementieren und diese mit iOS 16.3.1 zu veröffentlichen. Erst im Anschluss fanden die Sicherheitsexperten mit „LATENTIMAGE“ den ersten Zero-Click-Exploit, der dem Anschein nach ebenfalls auf die „Wo ist“-Funktion zugreift, aber eine andere Funktionsweise als „FINDMYPWN“ aufweist.

Lockdown-Modus kann Gefahr verringern

In dem Bericht zu den gefundenen Lücken gibt Citizen Lab zudem an, dass Zielpersonen, welche den mit iOS 16 als von Apple direkte Antwort auf Pegasus eingeführten „Lockdown-Modus“ aktiviert hatten, Echtzeitwarnungen erhielten, wenn versucht wurde, „PWNYOURHOME“ auf ihren Geräten auszunutzen. Bei dem Schutz werden verschiedene Dienste deaktiviert, sodass für Angreifer die Angriffsfläche reduziert wird. Auch wenn die Forscher nicht ausschließen, dass die NSO Group später eine Umgehung für diese Echtzeitwarnung entwickelt haben, konnte bei entsprechenden Geräten keine Nutzung der Lücke beobachtet werden.

Kein unbeschriebenes Blatt

Die NSO Group gab in der Vergangenheit immer wieder an, dass die eigene Überwachungssoftware nur durch „staatliche Stellen“ zur Gefahrenabwehr eingesetzt werde. Im Laufe der Zeit wurden jedoch immer mehr Berichte publik, die die Beteuerungen des israelischen Technologieunternehmens in einem weniger guten Licht darstellen ließen: Branchenexperten und Sicherheitsforscher sahen es wiederholt als bestätigt an, dass Pegasus auch von autoritären Regimen zur Ausspähung von Journalisten, Menschenrechtlern, Politikern, Anwälten und weiteren unbescholtenen Personen verwendet wird. Aber auch in Europa wurde Pegasus genutzt: So wurde im Dezember 2021 bekannt, dass in Polen ein Rechtsanwalt und eine Staatsanwältin mit dem Trojaner überwacht worden sein sollen – angeblich von der eigenen Regierung. Apple verklagte die NSO Group zudem im November 2021 in den USA, ein Urteil steht jedoch noch aus.