Hallo,

sicherlich haben auch andere in den Nachrichten von der weitreichenden (missbräuchlichen*) Ausspähung von Regierungskritikern, Oppositionellen, Journalisten und Politikern durch die Spähsoftware "Pegasus" gelesen bzw. gehört.

Über die politischen oder moralischen Aspekte will ich hier gar keine Diskussion anfangen. Mich würde an der Geschichte mal die technische Seite interessieren, wie es eine Software schaffen kann, auf einem iPhone den gesamten Datenbestand zu durchforsten und wie es sein kann, dass eine Software vom Gerät einfach so installiert wird. Den Weg der Infektion habe ich einigermaßen verstanden (wird z.B. hier: relativ gut erklärt, wenn auch für mein Empfinden nicht technisch fundiert genug). Dass Sicherheitslücken ausgenutzt werden, ist soweit klar. Aber um eine Software derart agieren lassen zu können, müssen offensichtlich eine Menge Sicherheitslücken vorhanden sein.

Was veranlasst ein iPhone, unwidersprochen Software aus einer externen Quelle, offensichtlich mit allen Rechten ausgestattet, zu installieren und zu starten? Wie muss ich mir das als Normalsterblicher vorstellen?
Das muss doch offensichtlich auf einer der untersten Betriebssystemsebenen vorgehen, wenn jegliche Barrieren, die anderen Apps den Weg zum Speicher anderer Apps verstellen, überwunden werden.

* wie es so schön vom Hersteller der Software heißt

vllt hilft dir das voran:

https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/

Danke für das starten dieses Threads! Ich habe auch erst heute früh erneut die Nachrichten über Zeit Online gehört. Bin gespannt, was hier bezüglich iOS berichtet wird. Ich bekomme zum Beispiel seit etwa einer Woche jeden Tag 2-3 SMS, worin auf eine vermeintliche Sprachnachricht hingewiesen wird mit einem ominösen Link. Wer weiß, wie die Website dahinter sich in Systeme einlinkt. Evtl. Pegasus?

Absender Telefon Nr beginnt mit 0190?
Link war bei mir gestern ein SMS-Vorlesedienst, der eine an mich gerichtete SMS vorlas.

Citizen Lab. hat das wohl 2016 aufgespürt und Dezember 2020 dazu erneut einen ausführlichen Artikel veröffentlicht. .

Sofern Du kein (relevanter) Systemkritiker eines autokratischen Landes bist oder ähnliches, würde ich mir an deiner Stelle erstmal keine Gedanken um Pegasus machen.
Und nein, ich bin nicht blauäugig, aber wenn man den Artikel in der SZ, die ja an der Recherche beteiligt waren, liest, dann wird ziemlich deutlich, dass die Pegasus-Software nicht zur automatisierten Massenüberwachung dient.

Es geht in erster Linie darum, welche Sicherheitslücken existieren und ausgenutzt werden, wenn eine Software auf dem iPhone durch Sideloading installiert werden kann und gleichzeitig so extrem viele Rechte hat.

Das würde mich interessieren. Ein 100% sicheres System gibt es nicht, aber Pegasus zeigt, daß iOS durchaus erhebliche Lücken haben muß.

Naja, aber evtl. ist sein bester Kumpel einer, oder …
Und was/wer ein Systemkritiker ist, ändert sich schnell. ( Corona-anders-Seher, Querdenker etc. sind ja auch bereits offizielle Verfassungsschutzziele)

Dazu passt (mal) ganz gut der Kommentar von Fefe
Insbesondere wenn man Punkt 9.4 im von JackK verlinkten Artikel ansieht...

Darum geht es hier gar nicht. Die französischen und englischen Journalisten waren ja auch nicht direkt Regimekritiker. Die Diskussion ist sehr berechtigt, wie es möglich ist, dass man mit etwas Knowhow bei einem vermeintlich gesicherten System, dem Millionen alle ihre Daten anvertrauen, einfach so rein- und rausspazieren kann. Daher danke für diesen Thread.

Das habe ich seit mehreren Wochen, die Nummern kommen sofort in die BlockList auf dem iPhone.

Solange die URL nicht von meinem Provider kommt, wird alles sofort gelöscht.
Ebenso bekomme ich Anrufe aus ganz Europa. Inzwischen habe ich unbekannte Anrufer fast vollständig geblockt.

Danke, du hast meine Intention bei der Frage richtig verstanden. Über die anderen Aspekte kann man ja in einem anderen Thread diskutieren.

@JackK: Vielen Dank für den hilfreichen Link! Das ist schon sehr detailiert für mein technisches Verständnis, aber ich arbeite mich langsam durch.

Wenn ich Pegasus wäre, würde ich proklamieren, völlig problemlos in aktuelle iPhöne reinzukommen, um die Zielgruppe Richtung Android zu schubsen

Was mich interessiert, kann man feststellen, ob Pegasus installiert ist und, wie kann man den Dreck löschen?

Ich blocke sie auch sofort. Hier kommt ein Screenshot (Achtung, keine Haftung für abgeschrieben und geöffneten Link aus dem Screenshot 😝)

Ich meine mal gelesen zu habem, das stille SMS zum eine keine Nachricht hinterlassen (im Grunde ja logisch) und zudem aktiviert werden ob nun blockiert oder nicht. So gesehen würde ich SMS die auf dem Bildschirmerscheinen keine Beachtung schenken.

Ich meine mal gelesen zu habem, das stille SMS zum eine keine Nachricht hinterlassen (im Grunde ja logisch) und zudem aktiviert werden ob nun blockiert oder nicht. So gesehen würde ich SMS die auf dem Bildschirmerscheinen keine Beachtung schenken.

Offensichtlich ist es ja rechtlich kein Problem:
Und somit stellt sich die Frage sind die gewählten Volksvertreter die richtigen Volksvertreter?
Man sieht es Weltweit, viele Regierungen wollen unter dem Deckmäntelchen "Terror" ihre Bürger überwachen können dürfen.
Es gibt viele Beispiele wohin das führt oder geführt hat. Also liebe Leute geht wählen und trefft für Euch die richtige Entscheidung. Die Sicherheitslücken werden wahrscheinlich nicht zu verhindern sein, aber Gesetze schon!

Warum läßt Du sie nicht abstellen? Zumindest einen Versuch ist es wert, bei mir hat das mit Werbe-SMS gut geklappt. Einfach an die BNetzA melden und warten:

Naja, in dem Bericht las sich das schon so, dass das nur auf dem iPhone so einfach war/ist!

@Peter Eckel
Wie sollte das gehen? Die URLs, die in der SMS genannt werden, sind doch immer unterschiedlich..? Ebenso die Absende-Telefonnummern...

Muss ich dann jedes mal eine Nachricht an BNetzA schicken..?

Dass Pegasus in erster Linie auf iPhones gefunden wurde, liegt laut Amnesty International daran, dass sich in iOS die Spuren leichter finden lassen, als auf Android-Geräten. Das ist in gewissem Sinne sogar ein Vorteil von iOS. Über die Verbreitung auf Android-Geräten und die Frage, wie leicht es ist da drauf zu kommen, sagt das erst einmal gar nichts aus.

Zitat aus dem von JackK verlinkten Artikel:

Wahnsinn. Danke fürs Teilen!

Ich hatte mir bereits nach der Dokumentation "The Dissident" über den Mord an Khashoggi und der Rolle von Saudi-Arabien die Pegasus Software angesehen. In der Dokumentation wurde auch von der Analyse von Jeff Bezos kompromittiertem Telefon gesprochen: .

*Diese* Sicherheitslücke wurde geschlossen. Es gibt wohl unzählige Weitere...

Mich würde auch interessieren, wie man Pegasus auf dem iPhone finden kann - rein aus Neugier würde ich mal danach suchen.

Ich befürchte, dass es einige Lücken in den vorinstallierten Apps (iMessage/Nachrichten) gibt, weil diese nicht so strenge Sandbox-Regeln haben wie Apps aus dem AppStore. Mag durchaus technische Gründe haben - vielleicht bekommt man sonst SMS und Messenger-Dienst nicht in eine App integriert. Wenn dann die Routinen via SIM eine SMS lesen, können sie die SIM oder das Backend der SIM manipulieren. Könnte auch mit den "Private Frameworks" zu tun haben, die ja nur Apple benutzen darf.
Reine Spekulation. Aber Apps aus dem Store (insbesondere von Dritte) sind deutlich stärker reglementiert.

Vielleicht mal mit dem Mobile Verification Toolkit probieren.
Hat Amnesty auf GitHub bereitgestellt.

Leider ja. Aber irgendwie muß man es den Leuten ja schwermachen, und der Prozeß des Meldens ist ja schon relativ einfach und geht schnell von der Hand.

Ich habe das mal eine Weile gegen ein Unternehmen durchgezogen, das mir unaufgefordert Werbe-SMS zukommen ließ. Da war es zwar immer die gleiche Telefonnummer, aber ständig wechselnde URLs (noch dazu über einen URL-Shortener). Irgendwann nach dem 8. oder 10. Mal war dann Ruhe.

Mit der Lookout Mobile Security iPhone- / iPad-App kann man es überprüfen.

https://apps.apple.com/de/app/lookout-sicherheit-backup/id434893913

Um das zu erfahren installiere ich mir sicher keine weitere Schnüffel-App. Was soll der Tip denn…?

garantiert nicht - das app ist eher eine abzocke, location dienst für Diebstahl, orten und sirene, ?? Schutz gegen phishing ??
entweder ist das in wo-ist- schon enthalten oder leere versprechen.

um eine Pegasus Infektion zu erkennen hilft nur ein vollständiger system dump, bzw analyse des system backups und aller log Dateien auf verdächtiger Prozesse oder in/outputs. Pegasus arbeitet auf root ebene und kann daher alle Systemfunktionen und Apps steuern.
Auch andere Apps blockieren oder sich selber löschen.
Das Mobile Verification Toolkit kann im Nachhinein eine mögliche Infektion aus den system log eines backup images erschliessen.

Vor Pegasus gibt es keinen Schutz ausser dass Apple die aktuell verwendeten 0-Day exploits schliesst. Evtl. öfter runterfahren und ausschalten und neu booten. Oder als Anwalt, Journalist, Politiker, Manager, etc. - das Handy komplett ausschalten / weg sperren.

Die Mitentdecker von Pegasus als Schnüffler und Abzocker zu bezeichnen, ist schon etwas … naja.

Hallo,
die haben das aufgedeckt.... Des Weiteren kommt eine Schnüffel-App nicht aus dem App-Store.

Selbst wenn die Firma das aufgedeckt hat, kann die mobile App Pegasus nicht identifizieren. Wie oben schon erwähnt, gelingt das nur durch Analyse von System-Logs und keine normale App aus dem App-Store hat Zugriff auf diese Dateien. Daher *kann* die App das nicht leisten. Wird ja auch nicht als Feature angegeben.

Jetzt mal ungeachtet der mehr oder weniger großen Nützlichkeit dieser App zur Entdeckung der Spyware (wenn das Zeug auch nur einen Schuß Pulver wert ist, und das ist es, fürchte ich, wird keine "normale" App der Welt das Ding finden können): Das mit "eine Schnüffel-App kommt nicht aus dem App-Store" ist ein Scherz, oder?

Erstens die Lookout-App selbst:


Eine App, die mein System "sichern" will, braucht dazu ganz bestimmt nicht meinen Aufenthaltsort, meine Kontaktdaten etc. pp ... das ist mir schon "schnüffel" genug, um sie nicht zu installieren.

Und dann gibt es auch noch Facebook, WhatsApp, GoogleWasauchimmer und zigtausende von Apps, die deren datensaugende Frameworks nutzen und fröhlich Daten abschnorcheln. Alles im App Store.

Ich glaube man muss unterscheiden ob mit oder ohne KI am ende.

Mit ios 14.7 und nun 14.7.1 ist Apple massiv gegen etlichen 0-day - und kernel priviliges fehler vorgegangen.

ich hoffe sie finden weitere Wege IOS securitiy mässig aufzurüsten.

hier die liste der 14.7 :


ActionKit

Impact: A shortcut may be able to bypass Internet permission requirements

Description: An input validation issue was addressed with improved input validation.

Audio

Impact: A local attacker may be able to cause unexpected application termination or arbitrary code execution

Description: This issue was addressed with improved checks.

AVEVideoEncoder

Impact: An application may be able to execute arbitrary code with kernel privileges

Description: A memory corruption issue was addressed with improved state management.

CoreAudio

Impact: Processing a maliciously crafted audio file may lead to arbitrary code execution

Description: A memory corruption issue was addressed with improved state management.

CoreAudio

Impact: Playing a malicious audio file may lead to an unexpected application termination

Description: A logic issue was addressed with improved validation.

CoreGraphics

Impact: Opening a maliciously crafted PDF file may lead to an unexpected application termination or arbitrary code execution

Description: A race condition was addressed with improved state handling.

CoreText

Impact: Processing a maliciously crafted font file may lead to arbitrary code execution

Description: An out-of-bounds read was addressed with improved input validation.

Crash Reporter

Impact: A malicious application may be able to gain root privileges

Description: A logic issue was addressed with improved validation.

CVMS

Impact: A malicious application may be able to gain root privileges

Description: An out-of-bounds write issue was addressed with improved bounds checking.

dyld

Impact: A sandboxed process may be able to circumvent sandbox restrictions

Description: A logic issue was addressed with improved validation.

Find My

Impact: A malicious application may be able to access Find My data

Description: A permissions issue was addressed with improved validation.

FontParser

Impact: Processing a maliciously crafted font file may lead to arbitrary code execution

Description: An integer overflow was addressed through improved input validation.

FontParser

Impact: Processing a maliciously crafted tiff file may lead to a denial-of-service or potentially disclose memory contents

Description: This issue was addressed with improved checks.

FontParser

Impact: Processing a maliciously crafted font file may lead to arbitrary code execution

Description: A stack overflow was addressed with improved input validation.

Identity Service

Impact: A malicious application may be able to bypass code signing checks

Description: An issue in code signature validation was addressed with improved checks.

Image Processing

Impact: Processing maliciously crafted web content may lead to arbitrary code execution

Description: A use after free issue was addressed with improved memory management.

ImageIO

Impact: Processing a maliciously crafted image may lead to arbitrary code execution

Description: This issue was addressed with improved checks.

ImageIO

Impact: Processing a maliciously crafted image may lead to arbitrary code execution

Description: A buffer overflow was addressed with improved bounds checking.

Kernel

Impact: A malicious attacker with arbitrary read and write capability may be able to bypass Pointer Authentication

Description: A logic issue was addressed with improved state management.

Kernel

Impact: An attacker that has already achieved kernel code execution may be able to bypass kernel memory mitigations

Description: A logic issue was addressed with improved validation.

libxml2

Impact: A remote attacker may be able to cause arbitrary code execution

Description: This issue was addressed with improved checks.

Measure

Impact: Multiple issues in libwebp

Description: Multiple issues were addressed by updating to version 1.2.0.

CVE-2018-25010

CVE-2018-25011

CVE-2018-25014

CVE-2020-36328

CVE-2020-36329

CVE-2020-36330

CVE-2020-36331

Model I/O

Impact: Processing a maliciously crafted image may lead to a denial of service

Description: A logic issue was addressed with improved validation.

Model I/O

Impact: Processing a maliciously crafted image may lead to arbitrary code execution

Description: An out-of-bounds write was addressed with improved input validation.

Model I/O

Impact: Processing a maliciously crafted file may disclose user information

Description: An out-of-bounds read was addressed with improved bounds checking.

TCC

Impact: A malicious application may be able to bypass certain Privacy preferences

Description: A logic issue was addressed with improved state management.

WebKit

Impact: Processing maliciously crafted web content may lead to arbitrary code execution

Description: A type confusion issue was addressed with improved state handling.

WebKit

Impact: Processing maliciously crafted web content may lead to arbitrary code execution

Description: A use after free issue was addressed with improved memory management.

WebKit

Impact: Processing maliciously crafted web content may lead to code execution

Description: This issue was addressed with improved checks.

WebKit

Impact: Processing maliciously crafted web content may lead to arbitrary code execution

Description: Multiple memory corruption issues were addressed with improved memory handling.

Wi-Fi

Impact: Joining a malicious Wi-Fi network may result in a denial of service or arbitrary code execution

Description: This issue was addressed with improved checks.