Staatstrojaner "Pegasus": Spyware kommt per Zero-Click und iMessage-Lücke auf iPhone – auch iOS 14.6 betroffen
Bereits Ende 2020 wurde bekannt, dass mit einer von staatlichen Stellen eingesetzten Schnüffelsoftware zahlreiche Journalisten bespitzelt wurden. Die vom israelischen Unternehmen NSO Group entwickelte und nach dessen Angaben ausschließlich an Regierungen verkaufte Software namens "Pegasus" nutzte eine Zero-Day-Lücke in iMessage. Betroffen waren iPhones, auf denen iOS 13.5.1 oder eine spätere Version installiert war, in iOS 14 hatte Apple die Schwachstelle geschlossen.
50.000 Opfer wurden möglicherweise ausgespähtEin internationales Recherche-Netzwerk fand jetzt in Zusammenarbeit mit Amnesty International heraus, dass derartige Angriffe weiterhin möglich sind. Zudem ist das Ausmaß der von – zumeist autoritären - Staaten durchgeführten Schnüffelaktionen weitaus größer als bislang bekannt. War Ende vergangenen Jahres noch von 37 ausgespähten Journalisten die Rede, zeigen die jetzt veröffentlichten Informationen: Die Zahl der Opfer derartiger Überwachungsmaßnahmen ist sehr viel größer. Bis zu 50.000 Anwälte, Medienschaffende und Menschenrechtsaktivisten wurden möglicherweise ausgespäht. Eine entsprechende Liste mit betroffenen Mobilfunknummern liegt dem
Amnesty International Security Lab (AISL) und der in Paris beheimateten Organisation
Forbidden Stories vor.
Installation ohne Zutun des iPhone-NutzersDie aktuelle Version von "Pegasus" ist in der Lage, sich ohne jegliches Zutun des iPhone-Besitzers auf dem Smartphone einzunisten. Hierfür nutzen die staatlichen Angreifer beispielsweise eine stille SMS oder eine Man-in-the-Middle-Attacke mithilfe von IMSI-Catchern. Dank einer Zero-Day-Lücke in der aktuellen Version von iMessage für iOS 14.6 lässt sich die Spyware auf dem iPhone installieren. Andere Schwachstellen etwa in der Musik-App werden ebenfalls ausgenutzt. Frühere Varianten des Trojaners erforderten hingegen noch mindestens einen Fingertipp auf eine per Mail oder SMS zugeschickte URL, um den Installationsprozess zu starten. Die neue Version von "Pegasus" ist also deutlich gefährlicher als die Vorgänger.
"Pegasus" hat Zugriff auf sämtliche DatenEinmal auf dem iPhone angelangt, kann "Pegasus" sämtliche dort befindlichen Daten auslesen und an die staatlichen Angreifer weiterleiten. Die Software klinkt sich hierfür mithilfe spezieller Spoofing-Mechanismen in zahlreiche Systemfunktionen von iOS ein. Eine Liste der genutzten Bibliotheken ist in der vom AISL veröffentlichten
Analyse des Trojaners zu finden. "Pegasus" ist zudem in der Lage, Telefongespräche mitzuschneiden oder etwa WhatsApp- und Telegram-Chats aufzuzeichnen. In iCloud gespeicherte Informationen stehen den Schnüfflern ebenfalls uneingeschränkt zur Verfügung, da auf diese vom befallenen iPhone aus zugegriffen werden kann.
Einsatz in Deutschland rechtlich nicht zulässigEine Liste aller Länder, welche "Pegasus" einsetzen, existiert nicht. Der Hersteller NSO Group gibt seine Kunden aus verständlichen Gründen nicht preis. Deutschland hat die Software aller Wahrscheinlichkeit nicht gekauft. Die Nutzung für Online-Durchsuchungen wäre hierzulande weitgehend illegal, denn Daten, welche vor einem entsprechenden richterlichen Beschluss entstanden, dürfen von den Ermittlungsbehörden nicht abgegriffen werden. Die ZEIT und die Süddeutsche Zeitung baten die Innenministerien der Länder und des Bundes um Auskunft, ob sie Pegasus einsetzen. Die Bundesländer erklärten, dass ihre Polizeibehörden die Software von NSO nicht nutzten. Für die Verfassungsschutzbehörden verweigerten die Landesregierungen grundsätzlich jede Auskunft. Apple hat sich bislang nicht zu den jüngsten Berichten über den Staatstrojaner geäußert. Das Unternehmen wird jedoch die zugrunde liegende Lücke erfahrungsgemäß in nächster Zeit mit einem iOS-Update schließen.