Hintergrund: Installiert sich Pegasus-Malware unsichtbar?
Apples iPhone galt eigentlich als recht sicher. Bis die Spionage Software Pegasus kam...
Foto: Picture-Alliance / dpa
In den vergangenen Tagen berichten verschiedene Nachrichtenagenturen, dass da draußen ein Spionage-Tool namens Pegasus umherschwirrt, das von verschiedenen "autoritären" Regierungen, beispielsweise von Mexiko, Marokko oder den Vereinigten Arabischen Emiraten verwendet wurde. Regierungen, die brennend daran interessiert sind, die Telefone ihrer Kritiker zu knacken, seien es Journalisten, Aktivisten, Politiker oder Führungskräfte aus der Wirtschaft. Hersteller dieser "Spyware" ist übrigens ein Unternehmen namens "NSO Group" aus Israel (teltarif.de berichtete).
50.000 Betroffene?
Apples iPhone galt eigentlich als recht sicher. Bis die Spionage Software Pegasus kam...
Foto: Picture-Alliance / dpa
Dazu war eine Liste mit 50.000 betroffenen Telefonnummern potenzieller Überwachungsziele durchgesickert, welche die in Paris ansässigen Journalismus-Non-Profit-Organisationen "Forbidden Stories" und "Amnesty International" zusammengestellt und den Berichterstattern wie die renommierten Zeitungen "The Washington Post" oder "The Guardian" zur Verfügung gestellt hatten.
Forscher konnten die Telefone von Dutzenden von Opfern analysieren und dabei bestätigen, dass diese von der Pegasus-Spionagesoftware der NSO erfasst wurden, die auf alle Daten auf dem Telefon einer Person zugreifen kann.
Auch Ungarn hat die Software gekauft
Neben den bereits genannten Ländern habe auch Ungarn diese NSO-Software gekauft hat. Ungarn ist ein Mitglied der Europäischen Union, wo der Schutz der Privatsphäre vor Überwachung eigentlich ein Grundrecht für seine 500 Millionen Einwohner sein sollte.
Aus dem Bericht wird erstmalig deutlich, wie viele mehr Einzelpersonen möglicherweise Ziel einer Überwachung auf Geräteebene geworden sind. Vorher war nur von wenigen Hundert oder Tausend Betroffenen die Rede.
Einziger schwacher Trost: Der Hersteller NSO verlangt pro Überwachung knackige Preise, was die Menge der ausspionierten Geräte möglicherweise doch etwas reduziert haben könnte. Sicher ist das aber nicht.
Können Betroffene den Schädling finden?
Da stellt sich die Frage, wie ein interessierter Nutzer selbst feststellen kann, ob er oder sie von diesem Spionage-Tool betroffen sein könnte.
Am fundiertesten sind noch die Informationen des Magazins Techcrunch wo auch Hinweise zur Analyse und Erkennung gegeben werden.
Amnesty International hat dazu eine eigene Webseite eingerichtet, die als "verdächtig" erkannte Web- und kryptische Download-Seiten mit ungewohnten Port-Nummern benennt und Hinweise gibt, wo und wie man sich solche Dinge einfangen könnte.
Bei iPhones sorgt die Pegasus Software anschießend dafür, dass Absturz-Fehlermeldungen an Apple unterblieben und dass auch aktuelle Sicherheits-Updates nicht mehr ausgeführt werden (können). Wer also ein aktuelles iPhone besitzt, dass sich nicht aktualisieren lässt, sollte den Fall umgehend genauer untersuchen (lassen).
Installation ohne Zutun des Nutzers
Das fatale an "Pegasus" ist, dass diese Software selbst auf dem als "sicherer" geltenden iPhone aus der Ferne installiert werden kann, ohne, dass die Nutzer wissen, was passiert. Auslöser ist ein merkwürdiger Link. Wird der geöffnet, wird das Telefon infiziert, still und ohne jegliche Interaktion durch einen "Zero-Click"-Exploit, der Schwachstellen in der iPhone-Software ausnutzt. Es könnten aber auch mysteriöse WhatsApp-Nachrichten oder geheimnisvolle Kurzmitteilungen oder FaceTime-Anrufe oder iMessage-Nachrichten sein.
Amnesty Citizen Lab-Forscher Bill Marczak sagte in einem Tweet, dass die Zero-Clicks von NSO sogar noch auf iOS 14.6 funktionierten. Wie es bei dem aktuellen Version 14.7 oder der kommenden 15.0 sein wird, ist nicht bekannt.
Werkzeuge zur Aufspürung durch Profis
Amnesty International hat unter dem Begriff "MVT"auf Github einige Tools und Hinweise zur Analyse veröffentlicht. Die erfordern allerdings Kenntnisse und den Einsatz von Linux. Der MVT-Ansatz untersucht auf einem Linux-Rechner (hilfsweise geht auch macOS von Apple) ein bereits angelegtes komplett-Backup eines iPhones beispielsweise danach, ob dort Spuren von Pegasus zu finden sind. Das hat den Charme, dass der Hersteller NSO bzw. die Auftraggeber von der Analyse nichts mitbekommen sollten.
Das Mobile Verification Toolkit (MVT) funktioniert sowohl für iPhones als auch für Android-Geräte. Amnesty fand heraus, dass Pegasus auf iPhones mehr Spuren hinterlässt als auf Android-Geräten. Wer ein verschlüsseltes iPhone-Backup nutzt, soll MVT auch verwenden können, um das Backup zu entschlüsseln, ohne eine komplett neue Kopie erstellen zu müssen.
Und Antiviren-Software?
Zwei Hersteller von Antivirus-Software meldeten zu Wort und machten auf die Problematik aufmerksam. Auf Nachfrage von teltarif.de teilte uns der Anbieter Avast mit, dass die aktuelle Version (Virus Definition Version 210719-00) von "Avast Mobile Security" für Android Pegasus erkennen und blockieren könne. Nicht nur das, die Nutzer erhielten die Option, die Pegasus-Applikation zu entfernen.
Bei iOS (Apple) kann Avast nur vorsorgend helfen. "Das Betriebssystem von Apple ist als geschlossenes System aufgebaut, dessen Apps in sogenannten 'Sandboxes' sitzen und nicht auf andere Apps zugreifen können. Dies macht das iOS-Betriebssystem generell sicherer. Das bedeutet aber auch, dass traditionelle Antivirenschutzmechanismen, wie das Scannen des Geräts auf neu installierte Apps, vom System nicht zugelassen werden."
Jedoch blockiere die WebShield-Funktion in Avast Mobile Security für iOS bösartige Phishing-URLs und schützt den Anwender so vor Pegasus, wenn der Angriff über eine Phishing-URL erfolge.
Avast warnt auch davor, dass Pegasus den "Zero-Click"-Angriffsmechanismus verwendet, was bedeutet, dass keine Benutzeraktion erforderlich ist, um die Spyware zu installieren. In diesem Fall ist es zum Beispiel möglich, ein Gerät einfach über einen WhatsApp-Anruf zu infizieren, auch wenn der Anruf nicht beantwortet wird. In neueren Fällen haben Forscher auch beschrieben, dass Pegasus über eine Zero-Day-Schwachstelle in Apples iMessage-App Zugriff erhielt.
Kaspersky: Security Cloud und aktuelle Updates
Der Virenjäger Kaspersky antwortete uns: "Produkte wie Kaspersky Security Cloud sind mit Anti-Phishing und Anti-Malware ausgestattet, die den Datenverkehr schützen. Kaspersky kategorisiert DNS-Anfragen vom System und wenn sie zu Phishing- oder Malware-Domains führen, erkennt und blockiert das Produkt diese. Wenn die Domains, mit denen Pegasus verbunden ist, als bösartig eingestuft werden, erkennt und blockiert Kaspersky Security Cloud diese Anfragen."
Ansonsten empfiehlt Kaspersky, alle Geräte auf dem neuesten Stand zu halten, da einige der Exploits bis ins Jahr 2019 zurückreichen. Darüber hinaus kann Kaspersky Security Cloud in einigen Fällen die Bedrohung durch indirekte Indikatoren erkennen - zum Beispiel anhand der Reputation beim Zugriff auf DNS.
Gruselige Situation
Bislang waren viele erfahrene Anwender davon ausgegangen, bei umsichtiger Verwendung vor solchen Angriffen sicher gewesen zu sein. In Zukunft sollte man also Nachrichten unklarer Absender behutsam öffnen und enthaltene Links besser nicht öffnen. Auch könnte es ratsam sein, externe Messaging-Programme nicht zu installieren oder bei iPhones möglicherweise auch auf iMessage und FaceTime zu verzichten, bis es hier eine Klärung der Sicherheit gibt.
Bei Reisen in politisch kritische Gebiete kann es durchaus sinnvoll sein, dort ein eigenes Gerät mit eigenen dafür angelegten Reise-Konto von Apple oder Google zu verwenden, das nur die allernotwendigsten Informationen enthält und das Gerät mit dem kompletten Datenbestand daheim zu lassen.
Sollte es bei Katastrophenlagen ein regionales Roaming zwischen den deutschen Netzbetreibern geben?