Pegasus (Schadprogramm)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Pegasus ist ein Schadprogramm (Spyware), das für Geräte mit dem Apple-Betriebssystem iOS bis zur Version 9.3.4 zugeschnitten ist.[1][2] Die Schadsoftware gilt als ausgesprochen professionell und in seiner Art einzigartig. Entdeckt und analysiert wurde Pegasus im August 2016 durch die Sicherheitsfirmen Lookout und Citizen Lab.

Entdeckung[Bearbeiten | Quelltext bearbeiten]

Ahmed Mansoor, ein international bekannter Menschenrechtsaktivist aus den Vereinigten Arabischen Emiraten, erhielt am 10. und 11. August 2016 jeweils eine SMS auf seinem iPhone 6 (iOS-Version 9.3.3), die auf neue Hinweise zu Menschenrechtsverletzungen aufmerksam machte und einen Link zu einer Webseite enthielt, die angeblich neue Geheimnisse enthülle. Der einzige Zweck dieser SMS war es, den Benutzer zum Anklicken des Links zu bewegen (Drive-by-Download). Anstatt auf den Link zu klicken, sendete Mansoor die Nachricht an einen befreundeten Sicherheitsspezialisten von Citizen Lab, der den Link in einer geschützten Entwicklungsumgebung ausführte.

Analyse[Bearbeiten | Quelltext bearbeiten]

Während einer ersten Untersuchung stellte Citizen Lab fest, dass der Link zu einer sogenannten „Exploit-Infrastruktur“ der israelischen Firma NSO Group gehört, da die verwendete Domain sms.webadv.co und deren IP-Adresse bereits bei Analysen in anderen Fällen auffällig geworden war. Diese Firma vermarktet unter der Bezeichnung „Pegasus“ ein iOS-Spyware-Produkt ausschließlich an Regierungseinrichtungen, Strafermittler und Geheimdienste als Softwaredienstleistung. Pro Ziel werden nach Angaben von Lookout geschätzt $25.000 USD berechnet.[3]

Weitere gemeinsame Untersuchungen von Citizen Lab und Lookout führten zu einer Kette von sogenannten „Zero-Day“-Exploits – also noch nicht offiziell bekannten Sicherheitslücken in einem Softwareprodukt. Solche unbekannten Lücken sind selten und auf dem Schwarzmarkt entsprechend teuer (bis zu 1 Million Euro pro Lücke). Daher gilt ein professioneller Ursprung dieser Software als sicher. Bemerkenswert ist die Ausnutzung von gleich drei solcher „Zero-Day“-Exploits. Code-Fragmente lassen darauf schließen, dass Pegasus abwärts bis iOS-Version 7 einsetzbar ist.

Die Kette wurde „Trident“ getauft und besteht im Einzelnen aus folgenden Schwachstellen, die in angegebener Reihenfolge durchgeführt werden:

  1. CVE-2016-4655: Eine Lücke im WebKit von iOS, die dazu führt, dass eine Web-Seite beim Öffnen aus der dafür vorgesehenen Umgebung (Sandbox) ausbrechen kann.
  2. CVE-2016-4656: Eine Lücke im Betriebssystem-Kernel, über die der Exploit Speicheradressen ermitteln kann.
  3. CVE-2016-4657: Ein Fehler in der Speicherverwaltung des iOS-Kerns, der einen Jailbreak ermöglicht. Konkret kann der Exploit darüber iOS-Schutzmechanismen außer Kraft setzen und Spionage-Software mit uneingeschränkten Rechten auf dem Gerät installieren.

Funktionen[Bearbeiten | Quelltext bearbeiten]

Nach dem Anklicken des Links werden in oben genannter Reihenfolge die Schwachstellen ausgenutzt und ein sogenannter versteckter Jailbreak durchgeführt. Für den Anwender öffnet sich kurz Safari und schließt sich dann selbstständig wieder, ohne dass irgendetwas auf die Infektion aufmerksam macht.

Pegasus prüft bei der Installation, ob bereits ein Jailbreak vorliegt, deaktiviert die Auto-Update-Funktion, um Sicherheitsupdates zu vermeiden, und nistet sich mit Root-Rechten in das Betriebssystem ein. Der Batteriestatus wird überwacht und die Art der Netzwerkverbindung, um ausspionierte Daten nur via WLAN an einen Command-&-Control-Server (C&C) verschlüsselt zu übermitteln (um verdächtigen Datenverbrauch im Mobilfunknetz zu vermeiden). Ebenfalls ist ein ausgefeilter Selbstzerstörungsmechanismus integriert, der Pegasus vollständig deinstalliert, wenn verdächtige Aktivitäten (Tracking) festgestellt werden.

Im Folgenden konnten die Forscher folgende Funktionen aufgrund der vorhandenen Bibliotheken ermitteln:

  • Gesprächsaufzeichnung
  • Kopieren des kompletten Adressbuches
  • Abhören von Messengerkommunikation (iMessage, KakaoTalk, Skype, Surespot, Telegram, WhatsApp)
  • Standortermittlung
  • Batteriestatus
  • Zugriff auf sämtliche Dokumente und Fotos
  • Browserverlauf
  • Gespeicherte Passwörter
  • Gespeicherte WLAN-Passwörter und des Apple-Schlüsselbundes

Konsequenz[Bearbeiten | Quelltext bearbeiten]

Nachdem Apple am 15. August 2016 über die Sicherheitslücken informiert wurde, reagierte das Unternehmen nach zehn Tagen Analyse und Entwicklung und stellte am 25. August 2016 mit iOS 9.3.5 ein Update bereit, das die Schwachstellen schloss.[4] Es ist davon auszugehen, dass Pegasus auf bereits infizierten iOS-Geräten nach dem Update nicht mehr lauffähig ist. Aufgrund des hohen Preises pro Ziel (25.000 US-Dollar) ist nicht davon auszugehen, dass eine breite Masse an Benutzern mit Pegasus infiziert wurden.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defender. citizenlab.org. 24. August 2016, abgerufen am 29. August 2016.
  2. Marketing Brochure documentcloud.org, abgerufen am 29. August 2016.
  3. Technical Analysis of Pegasus Spyware lookout.com, abgerufen am 29. August 2016
  4. About the security content of iOS 9.3.5 apple.com. 25. August 2016, abgerufen am 29. August 2016