Erstmals ist eine Spionage-Software aufgedeckt worden, mit der laut Experten alle Informationen aus einem iPhone und anderen Apple-Geräten abgeschöpft werden konnten. Das Programm „Pegasus“ konnte Nachrichten und E-Mails mitlesen, Anrufe mitschneiden, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers verfolgen, wie die IT-Sicherheitsfirma Lookout nach einer Analyse erklärte. So wurde die Schwachstelle ausgenutzt.
Schritt eins
Über eine Sicherheitslücke in Apples Web-Browser Safari konnte beliebiger Software-Code ausgeführt werden. Die Angreifer nutzten dies aus, um die Angriffs-Elemente von „Pegasus“ auf das Gerät zu laden. Um das auszulösen, genügte es, dass der iPhone-Besitzer einen präparierten Link anklickte. Das einzige ungewöhnliche Verhalten für ihn war, dass sich die Safari-App unerwartet schloss.
Schadsoftware „Pegasus“ bedroht Millionen
Schritt zwei
Die inzwischen auf dem Gerät aktive „Pegasus“-Software spürte dank der zweiten Sicherheitslücke das von Apple eigentlich versteckte Herzstück des iPhone-Betriebssystems iOS, den sogenannten Kernel auf. Er ist ein Schlüsselelement für die Sicherheit der Geräte. Deshalb wird der Kernel nach dem Zufallsprinzip an verschiedenen Speicherorten platziert, die bei einem Abruf verschleiert werden. Die Entwickler von „Pegasus“ fanden aber einen Weg, an die tatsächlichen Speicheradressen zu kommen.
Schritt drei
Über eine Schwachstelle im Kernel selbst sicherte sich „Pegasus“ weitreichenden Zugriff auf das iPhone. Das Spionage-Programm führte heimlich einen sogenannten „Jailbreak“ durch – so wird der Prozess bezeichnet, bei dem ein iPhone von den von Apple vorgesehenen Einschränkungen befreit wird. Einige Nutzer machen das selbst, um mehr Software installieren und das Gerät freier konfigurieren zu können. Damit fallen aber auch die Hürden für Attacken. So auch hier: Nach dem unerkannten „Jailbreak“ konnte „Pegasus“ Überwachungs-Software hinzufügen. Diese bestand aus vielen einzelnen Modulen, die verschiedene Dienste angriffen.
Zum Verhängnis wurde „Pegasus“ die Wachsamkeit des Menschenrechtlers Ahmed Mansoor aus den Vereinigten Arabischen Emiraten. Er misstraute der Nachricht mit einem präparierten Link. Die von ihm alarmierten Sicherheitsexperten analysierten den Link und lösten den weiteren Ablauf von „Pegasus“ in einer von ihnen kontrollierten Umgebung aus, erklärte Lookout-Forscher Max Bazaliy.
Mittlerweile hat Apple ein update für die betroffenen Geräte zum Download bereitgestellt.