Staatstrojaner "Pegasus": Spyware kommt per Zero-Click und iMessage-Lücke auf iPhone – auch iOS 14.6 betroffen

Bereits Ende 2020 wurde bekannt, dass mit einer von staatlichen Stellen eingesetzten Schnüffelsoftware zahlreiche Journalisten bespitzelt wurden. Die vom israelischen Unternehmen NSO Group entwickelte und nach dessen Angaben ausschließlich an Regierungen verkaufte Software namens "Pegasus" nutzte eine Zero-Day-Lücke in iMessage. Betroffen waren iPhones, auf denen iOS 13.5.1 oder eine spätere Version installiert war, in iOS 14 hatte Apple die Schwachstelle geschlossen.


50.000 Opfer wurden möglicherweise ausgespäht
Ein internationales Recherche-Netzwerk fand jetzt in Zusammenarbeit mit Amnesty International heraus, dass derartige Angriffe weiterhin möglich sind. Zudem ist das Ausmaß der von – zumeist autoritären - Staaten durchgeführten Schnüffelaktionen weitaus größer als bislang bekannt. War Ende vergangenen Jahres noch von 37 ausgespähten Journalisten die Rede, zeigen die jetzt veröffentlichten Informationen: Die Zahl der Opfer derartiger Überwachungsmaßnahmen ist sehr viel größer. Bis zu 50.000 Anwälte, Medienschaffende und Menschenrechtsaktivisten wurden möglicherweise ausgespäht. Eine entsprechende Liste mit betroffenen Mobilfunknummern liegt dem Amnesty International Security Lab (AISL) und der in Paris beheimateten Organisation Forbidden Stories vor.

Installation ohne Zutun des iPhone-Nutzers
Die aktuelle Version von "Pegasus" ist in der Lage, sich ohne jegliches Zutun des iPhone-Besitzers auf dem Smartphone einzunisten. Hierfür nutzen die staatlichen Angreifer beispielsweise eine stille SMS oder eine Man-in-the-Middle-Attacke mithilfe von IMSI-Catchern. Dank einer Zero-Day-Lücke in der aktuellen Version von iMessage für iOS 14.6 lässt sich die Spyware auf dem iPhone installieren. Andere Schwachstellen etwa in der Musik-App werden ebenfalls ausgenutzt. Frühere Varianten des Trojaners erforderten hingegen noch mindestens einen Fingertipp auf eine per Mail oder SMS zugeschickte URL, um den Installationsprozess zu starten. Die neue Version von "Pegasus" ist also deutlich gefährlicher als die Vorgänger.

"Pegasus" hat Zugriff auf sämtliche Daten
Einmal auf dem iPhone angelangt, kann "Pegasus" sämtliche dort befindlichen Daten auslesen und an die staatlichen Angreifer weiterleiten. Die Software klinkt sich hierfür mithilfe spezieller Spoofing-Mechanismen in zahlreiche Systemfunktionen von iOS ein. Eine Liste der genutzten Bibliotheken ist in der vom AISL veröffentlichten Analyse des Trojaners zu finden. "Pegasus" ist zudem in der Lage, Telefongespräche mitzuschneiden oder etwa WhatsApp- und Telegram-Chats aufzuzeichnen. In iCloud gespeicherte Informationen stehen den Schnüfflern ebenfalls uneingeschränkt zur Verfügung, da auf diese vom befallenen iPhone aus zugegriffen werden kann.

Einsatz in Deutschland rechtlich nicht zulässig
Eine Liste aller Länder, welche "Pegasus" einsetzen, existiert nicht. Der Hersteller NSO Group gibt seine Kunden aus verständlichen Gründen nicht preis. Deutschland hat die Software aller Wahrscheinlichkeit nicht gekauft. Die Nutzung für Online-Durchsuchungen wäre hierzulande weitgehend illegal, denn Daten, welche vor einem entsprechenden richterlichen Beschluss entstanden, dürfen von den Ermittlungsbehörden nicht abgegriffen werden. Die ZEIT und die Süddeutsche Zeitung baten die Innenministerien der Länder und des Bundes um Auskunft, ob sie Pegasus einsetzen. Die Bundesländer erklärten, dass ihre Polizeibehörden die Software von NSO nicht nutzten. Für die Verfassungsschutzbehörden verweigerten die Landesregierungen grundsätzlich jede Auskunft. Apple hat sich bislang nicht zu den jüngsten Berichten über den Staatstrojaner geäußert. Das Unternehmen wird jedoch die zugrunde liegende Lücke erfahrungsgemäß in nächster Zeit mit einem iOS-Update schließen.

Kommentare

john
john19.07.21 16:08
Deutschland hat die Software aller Wahrscheinlichkeit nicht gekauft.
+
Die Bundesländer erklärten, dass ihre Polizeibehörden die Software von NSO nutzten.
fehlt hier ein "nicht" oder ergibt das keinen sinn?
biete support. kostenlos, kompetent und freundlich. wähle zwei.
+7
ruphi19.07.21 16:17
john
fehlt hier ein "nicht" oder ergibt das keinen sinn?
Es fehlt definitiv ein "nicht". Siehe
+2
Perry Goldsmith
Perry Goldsmith19.07.21 16:18
Dank einer Zero-Day-Lücke in der aktuellen Version von iMessage für iOS 14.6

Ist das inzwischen wirklich bestätigt? Auf Heise hieß es vor ein paar Tagen noch, dass die Angaben sehr vage und möglicherweise nicht korrekt wären.
+3
Dupondt19.07.21 16:19
john
fehlt hier ein "nicht" oder ergibt das keinen sinn?
Danke für den HInweis, ist korrigert.
+2
Michael Lang aus Rieder19.07.21 16:30
Hoffentlich kann Apple diese Lücke rasch schließen.
Vor allem, dass man ohne irgendein Zutun betroffen sein kann ist übel.
+7
Robby55519.07.21 16:49
Eine Lücke wird geschlossen, zwei andere werden geöffnet. iOS 15 Steht vor der Tür.
-2
Timeo Danaos19.07.21 17:10
Die Frage ist wohl eher ob es bei Apple nicht um grundsätzlichere Probleme im Umgang mit Sicherheitslücken geht. Dieser nicht-technische Artikel im Guardian dazu ist recht interessant:
Darin auch ein paar saftig-kritische Aussagen von Patrick Wardle.
+3
Lailaps
Lailaps19.07.21 17:14
john
Deutschland hat die Software aller Wahrscheinlichkeit nicht gekauft.
+
Die Bundesländer erklärten, dass ihre Polizeibehörden die Software von NSO nutzten.
fehlt hier ein "nicht" oder ergibt das keinen sinn?

Polizei ist bei uns Ländersache. Da hat der Bund nix mit am Hut. Evt. haben einige Bundesländer die Software gekauft, aber ich denke nicht. Da sind sicher einige Parteien dagegen.
Texte im generischen Maskulinum gelten aber auch für (m/w/d/nb/lq/rq/b/ua) männlich/weiblich/divers/nicht binär/links quere/rechts quere/bescheuerte/und andere
-1
wicki
wicki19.07.21 17:36
Lailaps
Polizei ist bei uns Ländersache. Da hat der Bund nix mit am Hut. …

Das ist Quatsch, wir haben auf Bundes-Ebene eine Bundespolizei und ein Bundeskriminal-Amt. Ebenso eine Bundes-Anwaltschaft. Dazu noch drei Geheimdienste.
+4
cps19.07.21 18:08
Apple hat sich bislang nicht zu den jüngsten Berichten über den Staatstrojaner geäußert. Das Unternehmen wird jedoch die zugrunde liegende Lücke erfahrungsgemäß in nächster Zeit mit einem iOS-Update schließen.
Die Organisation hat Apple auf die Sicherheitslücke aufmerksam gemacht. Die Firma selbst teilte auf Anfrage mit, diese Art von Attacken würde die überwältigende Mehrheit der Nutzer nicht bedrohen. Sie arbeite aber natürlich durchgängig daran, die Sicherheit aller Kunden zu gewährleisten.

https://www.tagesschau.de/investigativ/ndr-wdr/spaeh-software-pegasus-smartphone-101.html
0
Mecki
Mecki19.07.21 21:10
wicki
wir haben auf Bundes-Ebene eine Bundespolizei und ein Bundeskriminal-Amt.
Stimmt, aber wir haben auch 16 Landeskriminalämter und im Normalfall ist die Landespolizei für die Aufklärung vom Straftaten verantwortlich. Solange es keine Straftaten gegen den Bund selber sind, hat die Bundespolizei nur eine koordinierende Funktion:

Als Zentralstelle der deutschen Kriminalpolizei hat es die Aufgabe, die nationale Kriminalitätsbekämpfung in enger Zusammenarbeit mit den Landeskriminalämtern zu koordinieren.

Genau wie das FBI in den USA, ist bei uns die Bundespolizei nur dann direkt zuständig, wenn es um grenzüberschreitende Straftaten geht (also sich mehrere Länder über die Zuständigkeit streiten könnten) oder es direkt um die innere Sicherheit geht (Landesverrat, Spionage, Terrorismus), also Straftaten gegen den Staat als Ganzes. Selbst bei mehrfachen Mord ermittelt das LKA und nicht das BKA. Aber wenn es z.B. um einen deutschlandweiten Kinderpornoring geht, dann würde auch das BKA die Ermittlung leiten, eben weil es mehrere oder sogar alle Bundesländer betrifft; aber auch hier nur in Absprache mit den betroffenen LKAs.

Wir haben auch 16 Polizeilandesgesetze , da jedes Land hier sein eigenes hat. Das wurde bewusst so nach dem zweiten Weltkrieg gestaltet, weil eine Zentralpolizei wäre nur ein Behörde, die man unter seine Kontrolle bringen müsste und schon ist die Exekutive korrumpiert. So aber könnte jemand vielleicht die Bundespolizei unter seine Kontrolle bringen, hätte dann aber noch 16 Länderpolizeien, die sich gegen ihn stellen würden (horizontale Gewaltjungteilung). Welche Kompetenzen also Polizisten haben ist also durchaus von Land zu Land unterschiedlich, der Bund steckt hier nur grobe Vorgaben ab, die Länder füllen das ganze erst mit Leben.

Deswegen kann auch jede Landespolizei selber entscheiden, welche Ermittlungshilfen sie einsetzen möchte und welche nicht, sofern sie dabei nicht gegen eine Bundesvorgabe verstoßen und das völlig unabhängig davon was das BKA so nutzt. Denn die Landespolizei untersteht nicht der Bundespolizei und sie untersteht auch nicht dem Bund, sie untersteht ausschließlich dem jeweiligen Bundesland. Der Chef der Landespolizei ist der jeweilige Innenmister des Bundeslandes und indirekt der Ministerpräsident (denn der Innenminister ist weisungsgebunden gegenüber dem Ministerpräsidenten). Mit anderen Worten, nur das BKA muss direkt Anweisungen von Horst Seehofer entgegen nehmen, die Landespolizei muss das nicht. Hier muss sich Seehofer schon an den zuständigen Innenminister des Landes wenden und auch dem kann er nichts befehlen, den kann er höchsten nett fragen.
+5
deus-ex19.07.21 21:23
Wenn Unternehmen aus freiheitlichen, demokratischen Staaten Software für diktatorische, autokratische Staaten entwickeln…. Kannst du dir nicht ausdenken…
+4
Florian Lehmann19.07.21 21:35
Ganz schön Kacke. Und wieso erkennt iOS den Befall nicht? Was lernen wir daraus?
iMessage ist Dreck
SMS ist Dreck.
Beides gehört deaktiviert,

Überzeugt mich eines besseren!
-3
Perry Goldsmith
Perry Goldsmith20.07.21 06:30
Florian Lehmann
Überzeugt mich eines besseren!

SMS ist die einzige Text-Technik, die auf allen Handys funktioniert. Würde man sie jetzt abschaffen, würde das Whatsapp/Facebook sicher gefallen aber sonst gar nichts nutzen.
+1
deus-ex20.07.21 06:59
Florian Lehmann
Ganz schön Kacke. Und wieso erkennt iOS den Befall nicht? Was lernen wir daraus?
iMessage ist Dreck
SMS ist Dreck.
Beides gehört deaktiviert,

Überzeugt mich eines besseren!

Du hast 0 Ahnung. Software ist von Menschen gemacht. Menschen machen Fehler. Eine Software hat IMMER Bugs. Und die lassen sich nun mal ausnutzen. Herausforderung ist, die Bugs zu finden.
+1
Apple@Wien
Apple@Wien20.07.21 07:13
deus-ex

Genau so ist es und es ist und war schon immer ein Ringen zwischen Hacker und Devs, Fehler zu finden ggfs. auszunutzen und Fehler zu schließen.
+1
Scheki20.07.21 07:37
Mich würde interessieren, woran man erkennen würde, dass man den befallen ist und wie man es wieder los wird
+4
Florian Lehmann20.07.21 07:49
Scheki

Da musst mal deus-ex
Fragen. Der hat ja scheinbar Ahnung. 🤷🏼‍♂️
-1
deus-ex20.07.21 08:10
Florian Lehmann
SchekiDa musst mal deus-ex
Fragen. Der hat ja scheinbar Ahnung. 🤷🏼‍♂️
Hab ich nie behauptet. Aber ich kann Google bedienen:

0
gegy
gegy20.07.21 09:15
Ist das Thema in 14.7 gefixt?
+2
chessboard
chessboard20.07.21 10:24
deus-ex
Software ist von Menschen gemacht. Menschen machen Fehler. Eine Software hat IMMER Bugs. Und die lassen sich nun mal ausnutzen. Herausforderung ist, die Bugs zu finden.
Richtig, die Herausforderung ist, die Bugs zu finden. Da erlaube ich mir mal die häretische Frage, ob Apple sich nicht vielleicht auch auf dem entsprechenden Markt bedienen sollten, auf dem die Firma NSO (Pegasus) sich mit den nötigen Sicherheitslücken eindeckt. Geld sollte dabei wohl das geringste Problem sein.
+3
Florian Lehmann20.07.21 10:50
deus-ex
Florian Lehmann
SchekiDa musst mal deus-ex
Fragen. Der hat ja scheinbar Ahnung. 🤷🏼‍♂️
Hab ich nie behauptet. Aber ich kann Google bedienen:


Na ja. Wenn du behauptest ich hab 0 Ahnung dann bedeutet das im Umkehrschluss, dass du Ahnung hast. Wenn du aber nur Google bedienen kannst, hast du leider dann auch 0 Ahnung. 🤷🏼‍♂️
0
iQuaser
iQuaser20.07.21 11:08
"Einmal auf dem iPhone angelangt, kann "Pegasus" sämtliche dort befindlichen Daten auslesen und an die staatlichen Angreifer weiterleiten."

Es ist eine Sache, dass offensichtlich eine Software ohne Bestätigung des Benutzers aus der Ferne installiert werden kann.

Wenn diese Software dann aber alle im iPhone gespeicherten Daten auslesen und übermitteln kann - wäre das ein Totalversagen aller auch rudimentärsten Sicherheitsmechanismen im iPhone.
+3
Kodo167020.07.21 11:32
chessboard
deus-ex
Software ist von Menschen gemacht. Menschen machen Fehler. Eine Software hat IMMER Bugs. Und die lassen sich nun mal ausnutzen. Herausforderung ist, die Bugs zu finden.
Richtig, die Herausforderung ist, die Bugs zu finden. Da erlaube ich mir mal die häretische Frage, ob Apple sich nicht vielleicht auch auf dem entsprechenden Markt bedienen sollten, auf dem die Firma NSO (Pegasus) sich mit den nötigen Sicherheitslücken eindeckt. Geld sollte dabei wohl das geringste Problem sein.

Das war auch mein erster Gedanke. Im Erklär-Video bei ZON taucht ein Chart auf, in dem der Wert einer zero-click-Lücke mit 2-3 mio beziffert ist. Wieviel solcher Lücken mag es geben? 5? 10? 20? Wenn Apple den Markt leerkauft, sind das nicht mehr als 100 Mio.
Apple hat im letzten Jahr knapp 60 Milliarden Gewinn gemacht. Das know-how für die OS-Entwicklung und die Sicherheit ihrer Kunden sollte es ihnen eigentlich wert sein. Und die ganze Firma wird auf knapp 2 Milliarden geschätzt. Für ein knappes Dreißigstel des Gewinns EINES Geschäftsjahres könnte Apple sich das Wissen über ihr eigenes System kaufen, das auf anderen Wegen zu erwerben offenbar 260 Milliarden Umsatz nicht gereicht haben.

Zumal die NSO-Typen ja keine einzigartig erleuchteten Aliens sind. Der KGB-Spitzel in seinem Zarenpalast und die Parteiameisen vom Platz des Himmlischen Friedens werden kaum untätig gewesen sein, und die müssen nicht mal so tun, als wollten sie ihr Gesicht wahren.
+2
Timeo Danaos20.07.21 11:33
iQuaser
Wenn diese Software dann aber alle im iPhone gespeicherten Daten auslesen und übermitteln kann - wäre das ein Totalversagen aller auch rudimentärsten Sicherheitsmechanismen im iPhone.

So ist es. Und niemand hat eine Ahnung wie genau das passiert, weil Apple auf dem iPhone keine Systemlogs erlaubt.
Man kann nur hoffen, dass die Apfelfirma mittlerweile weiß wo die Löcher sind und diese stopft. BlastDoor war da ja so ein Versuch. Leider offenbar auch wenig wirksam, da Pegasus schon auf neueren iOS-Versionen gefunden wurde, die BlastDoor bereits mitbringen.
+3
Timeo Danaos20.07.21 11:39
Kodo1670
[…] bei ZON taucht ein Chart auf, in dem der Wert einer zero-click-Lücke mit 2-3 mio beziffert ist. Wieviel solcher Lücken mag es geben? 5? 10? 20? Wenn Apple den Markt leerkauft, sind das nicht mehr als 100 Mio.

Das ist aber genau einer der schwersten Vorwürfe gegen Apple. Im Gegensatz zu Microsoft und anderen arbeitet Apple ungern bis gar nicht mit externen Sicherheitsberatern zusammen. Die sagen öffentlich: Wir kaufen nix, wir zahlen nix, unser System ist per se supersicher und darüber will man auch keine Zweifel in einer öffentlichen Diskussion aufkommen lassen.
Die Konsequenzen sieht man ja spätestens jetzt. Ich hoffe der gewaltige Imageschaden durch die weltweite Berichterstattung über die Verletzlichkeit von iOS durch Pegasus ändert daran etwas…
+4
Kodo167020.07.21 11:55
Im genannten Chart werden die Zero-Click-Lücken für Android sogar höher taxiert als die für iOS. Das könnte natürlich daran liegen, dass es mehr Android- als iOS-Geräte gibt und damit die potentielle Opfergruppe größer ist.
Es könnte aber auch daran liegen, dass iOS sich mittlerweile als das verwundbarere System herausgestellt hat und Lücken in Android einfach rarer sind.
Timeo Danaos
Das ist aber genau einer der schwersten Vorwürfe gegen Apple. Im Gegensatz zu Microsoft und anderen arbeitet Apple ungern bis gar nicht mit externen Sicherheitsberatern zusammen. Die sagen öffentlich: Wir kaufen nix, wir zahlen nix, unser System ist per se supersicher. Es könnte sonst ja öffentlich werden, dass ihr ach so sicheres System gar nicht so sicher ist.
Die Konsequenzen sieht man ja spätestens jetzt. Ich hoffe der gewaltige Imageschaden durch die weltweite Berichterstattung über die Verletzlichkeit von iOS durch Pegasus ändert daran etwas…
+1
Max_volume
Max_volume20.07.21 16:01
Wäre interessant ob das Thema mit dem neusten Update 14.7 gefixed ist…
+2
Timeo Danaos20.07.21 17:13
Max_volume
Wäre interessant ob das Thema mit dem neusten Update 14.7 gefixed ist…
Die Frage ist doch eher ob man Apple noch vertraut, selbst wenn Sie behaupten es sei gefixt.
+1
cps20.07.21 22:47
Timeo Danaos
Max_volume
Wäre interessant ob das Thema mit dem neusten Update 14.7 gefixed ist…
Die Frage ist doch eher ob man Apple noch vertraut, selbst wenn Sie behaupten es sei gefixt.

Wieso noch?
+2
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.