Themenüberblick

Zugriff über drei Schwachstellen

Eine neu entdeckte Spionagesoftware hat sich einen bisher nie gesehenen Zugriff auf iPhones und andere Apple-Geräte verschaffen können. Der IT-Sicherheitsfirma Lookout zufolge konnte das Programm über drei bisher unbekannte Softwareschwachstellen unter anderem Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abgreifen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers verfolgen.

Nach Erkenntnissen von Experten wurde das Programm auch gegen Menschenrechtler und Journalisten eingesetzt. Apple stopfte die Sicherheitslücken im iPhone-System iOS Ende August - rund zwei Wochen nach dem ersten Verdacht.

Überwachung auf Geheimdienstniveau

Es ist beispiellos, dass eine Software zur Überwachung von iPhones mit derartigen Fähigkeiten, die meist nur Geheimdiensten zugeschrieben werden, entdeckt und analysiert werden konnte. Den Experten zufolge steckt hinter dem Programm ein Unternehmen aus Israel, das von einem Finanzinvestor übernommen worden sei und als eine Art Cyberwaffenhändler gelte.

Aufgeflogen sei das Schadprogramm, als ein bekannter Menschenrechtler aus den Vereinigten Arabischen Emiraten Verdacht bei einer Nachricht mit einem Link zu angeblichen Informationen über Folter von Häftlingen in dem Land geschöpft habe, hieß es. Statt den Link anzuklicken, habe Ahmed Mansur die Sicherheitsforscher eingeschaltet. Sie gaben dem entdeckten Überwachungsprogramm den Namen „Pegasus“.

Software versteckt sich hinter Verschlüsselung

„Pegasus ist die ausgeklügeltste Attacke, die wir je auf einem Endgerät gesehen haben“, resümierte Lookout. Das Programm profitiere davon, dass mobile Geräte tief in den Alltag integriert seien. Zudem vereinten sie eine Vielzahl an Informationen wie Passwörter, Fotos, E-Mails, Kontaktlisten, GPS-Standortdaten. Die Spionagesoftware sei modular aufgebaut und greife zu Verschlüsselung, um nicht entdeckt zu werden. Lookout lässt iPhone-Nutzer inzwischen mit einer App prüfen, ob ihr Gerät befallen wurde.

Das kanadische Citizen Lab fand auch Hinweise darauf, dass ein mexikanischer Journalist und bisher nicht näher bekannte Zielpersonen in Kenia mit Hilfe von „Pegasus“ ausgespäht worden seien. Insgesamt blieb jedoch zunächst unklar, wie breit und wie lange die Software eingesetzt worden sein könnte.

Ein Sprecher der als Urheber vermuteten Firma NSO Group sagte der „New York Times“, man verkaufe nur an Regierungsbehörden und halte sich streng an Ausfuhrbestimmungen. Er wollte keine Angaben dazu machen, ob Software des Unternehmens in den Vereinigten Arabischen Emiraten oder in Mexiko im Einsatz sei.

Apples Ruf der Sicherheit bröckelt

Die von Apple veröffentlichte iOS-Version 9.3.5. ist für iPhones, iPad-Tablets und den Multimedia-Player iPod touch gedacht. Für den Konzern ist das Spionageprogramm ein schmerzlicher Dämpfer: Die Sicherheit der Geräte ist ein wichtiger Pfeiler des Apple-Marketings, und der Konzern investiert viel in Verschlüsselung und andere Sicherheitsmechanismen. Apple betonte, man empfehle den Nutzern immer, die neueste iOS-Version zu nutzen.

„Zero-Day“-Sicherheitslücken, die dem Anbieter einer Software nicht bekannt sind, werden von Geheimdiensten und kriminellen Hackern genutzt. Auch der Computerwurm „Stuxnet“, der das iranische Atomprogramm sabotierte, griff mehrere solcher Lücken an. „Zero-Day“-Schwachstellen in iPhones werden teuer gehandelt und können auch eine Million Dollar kosten. Dass „Pegasus“ gleich drei von ihnen nutzte, ist deshalb ungewöhnlich.

Apple lobte Prämie für Finden von Bugs aus

Erst Anfang August hatte Apple angekündigt, künftig Prämien für die Entdeckung von Sicherheitslücken ausschütten zu wollen. Ausgewählte Sicherheitsexperten und Hacker sollen mit bis zu 200.000 Dollar belohnt werden, wenn sie Fehler im System entdecken. Apple folgt damit Wettbewerbern wie Google und Microsoft, die schon seit längerer Zeit ein „Bug-Bounty“-Programm betreiben.

Im Gegensatz zur Konkurrenz nimmt Apple im ersten Schritt aber nicht Einreichungen von allen Interessierten an, sondern beschränkt den Kreis der Experten auf diejenigen, die in der Vergangenheit bereits auf Fehler hingewiesen haben. Apple sei aber bereit, im Laufe des Programms weitere Experten hinzuzufügen.

Wochenlanger Streit mit FBI

Mit dem Prämienprogramm reagiere man darauf, dass Fehler immer schwerer zu finden seien, sagte ein Sprecher. Gleichzeitig will Apple aber auch Hacker davon abhalten, die Schwachstellen an andere Unternehmen oder Regierungen zu verkaufen. Genau das war offenbar erst Anfang des Jahres passiert, als die Bundespolizei FBI versuchte, Apple per Gerichtsurteil zur Herausgabe der iPhone-Daten des San-Bernardino-Attentäters zu zwingen. Die Ermittler wollten über das Gerät herausfinden, ob die Extremisten in Kontakt zur Terrormiliz Islamischer Staat (IS) standen.

Nach wochenlangem juristischem Schlagabtausch nahmen die Strafverfolger die Klage zurück, da das FBI das Smartphone ohne Hilfe des Unternehmens entsperren konnte. FBI-Chef James Comey sagte auf einer Sicherheitskonferenz in London, der dafür an Hacker bezahlte Betrag übersteige die Einkünfte, die er in seiner restlichen Amtszeit noch bekommen werde. Das wären nach Reuters-Berechnungen mehr als 1,3 Millionen Dollar (1,14 Mio. Euro).

In den USA gibt es ein Regierungsgremium, das regelmäßig darüber entscheidet, ob den Behörden bekannte Schwachstellen den betroffenen Unternehmen offengelegt werden, damit sie zum Schutz der Nutzer gestopft werden können. Zum iPhone-Hack hieß es bisher, es gebe noch keine Entscheidung, ob die Methode Apple mitgeteilt werde.

Reger Handel mit Sicherheitslücken

Es ist nicht ungewöhnlich, dass Behörden Schwachstellen einkaufen, um sie für Überwachungsmaßnahmen, Spionage und Ermittlungen zu benutzen. Auch der hohe Preis ist nichts Besonderes: Eine Firma lobte jüngst eine Millionenbelohnung für eine noch unbekannte Apple-Schwachstelle aus - was allerdings eher als PR-Aktion aufgefasst wurde. Im kriminellen Untergrund gibt es zudem einen regen Handel mit Sicherheitslücken, die dann für Cyberattacken ausgenutzt werden.

Links: