Netzwelt

Sicherheitslücke bei Apple-Geräten

Was Sie jetzt über "Pegasus" wissen sollten

Eine Schadsoftware namens "Pegasus" nutzt gleich drei bislang unbekannte Lücken in Apple-Geräten aus. Wir beantworten die wichtigsten Fragen rund um den spektakulären Hack.

SPIEGEL ONLINE

Apples iPhone 6

Von und
Freitag, 26.08.2016   13:57 Uhr

Wenig Zeit? Am Textende gibt's eine Zusammenfassung.


Eine erst seit Kurzem bekannte Sicherheitslücke hat potenziell viele Millionen Geräte gefährdet. Mit ihrer Hilfe war es Angreifern möglich, die Kontrolle über iPhones zu übernehmen. Hier finden Sie Antworten auf die wichtigsten Fragen.

Was ist passiert?

Eine "Pegasus" genannte Schadsoftware nutzt ersten Analysen zufolge gleich drei bislang unbekannte Schwachstellen in Apples Software aus - eine im Safari-Webbrowser und zwei im Kern des Mobilbetriebssystems iOS. Das Sicherheitsleck wird als "Trident" bezeichnet. Es handelt sich um einen sogenannten Zero-Day-Exploit, eine Schwachstelle, die ausgenutzt wird, aber noch nicht allgemein bekannt ist (siehe nächste Frage)

Über die Safari-Lücke konnte beliebiger Softwarecode ausgeführt werden, heißt es von der amerikanischen Sicherheitsfirma Lookout. Die Angreifer nutzten das, um die Angriffselemente von "Pegasus" auf das Gerät zu laden. Dafür genügte es, dass die Zielperson einen präparierten Link anklickt. Das einzige ungewöhnliche Verhalten für den Nutzer war, dass sich die Safari-App schloss.

Die auf dem Gerät aktive "Pegasus"-Software spürte dank der zweiten Sicherheitslücke das von Apple eigentlich versteckte Herzstück des iPhone-Betriebssystems iOS, den sogenannten Kernel auf. Er ist ein Schlüsselelement für die Sicherheit der Geräte.

Über eine Schwachstelle im Kernel selbst sicherte sich "Pegasus" danach weitreichenden Zugriff auf das iPhone. Das Spionageprogramm führte heimlich einen Jailbreak durch - so wird der Prozess bezeichnet, bei dem ein iPhone von den von Apple vorgesehenen Einschränkungen befreit wird. Einige Nutzer machen das selbst, um mehr Software installieren und das Gerät freier konfigurieren zu können. Damit fallen aber auch die Hürden für Attacken. So auch hier: Nach dem unerkannten Jailbreak konnte "Pegasus" Überwachungs-Software hinzufügen.

Welche Geräte sind gefährdet?

Nach Erkenntnissen der IT-Sicherheitsfirma Lookout und des Citizen Labs der Universität von Toronto, die das Spionage-Programm eingehend untersuchten, konnte "Pegasus" alle Versionen des iPhone-Betriebssystems ab dem vor drei Jahren eingeführten iOS 7 befallen. Nur an der neuen iOS-Version 9.3.5 vom Donnerstag scheitert die Software.

Die Software macht das iPhone zum digitalen Spion mit Zugriff auf sämtliche Kommunikationsdienste, bislang wird sie offenbar vor allem für gezielte Spähangriffe staatlicher Einrichtungen auf Menschenrechtler und Dissidenten benutzt. "Pegasus" kann Anrufe mitschneiden, SMS mitlesen, auf die Kamera des Geräts zugreifen, Aufenthaltsorte verfolgen, Kontaktlisten einsehen, E-Mails lesen, Passwörter sowie Daten von Facebook und Kommunikationsdiensten wie WhatsApp, Skype, Telegram, Viber oder WeChat abgreifen.

Was ist ein Zero-Day-Exploit?

Unter einem Zero-Day-Exploit verstehen Experten das Ausnutzen einer Schwachstelle in einem System, die noch nicht allgemein bekannt und daher auch noch nicht gestopft wurde. Die Programmierer der Software haben daher keine Möglichkeit, beziehungsweise sahen noch keinen Anlass, um Patches gegen den Angriff zu entwickeln.

Zero-Day-Exploits tauchen immer wieder und bei allen möglichen Betriebssystemen auf. Zwar untersuchen Softwarefirmen ihre Programme regelmäßig auf mögliche Sicherheitslücken. Trotzdem ist Software nie wirklich sicher. In Tausenden Zeilen Programmcodes können sich immer noch Fehler verstecken. Teilweise werden von Entwicklern Code-Bausteine aus alten Programmen für neue Anwendungen genutzt, auf diese Art können sich Sicherheitslücken verbreiten. Im vergangenen Jahr wurde im Schnitt jede Woche ein Zero-Day-Exploit entdeckt, schreibt die Sicherheitsfirma Symantec in ihrem Internet Security Threat Report.

Mit Zero-Day-Exploits, für die sich Geheimdienste, aber auch Kriminelle interessieren, herrscht online ein reger Handel. Erst vor einigen Monaten sorgte eine Firma für Aufsehen, die für eine Zero-Day-Lücke beim iPhone eine Million Dollar Belohnung aussetzte - und sie schließlich nach eigenen Angaben auch auszahlte.

Was sollten iOS-Nutzer jetzt machen?

Apple stopfte den Forschern zufolge die Lücke rund zwei Wochen nach dem ersten Verdacht und zehn Tage, nachdem der Konzern davon erfuhr. Das ist eine eine vergleichsweise schnelle Reaktion. Nutzern wird dringend geraten, das am Donnerstag verteilte Update zu installieren, sofern es für das eigene Gerät angeboten wird.

Die Größe des Programms kann je nach Gerät variieren. Zu finden ist das Update auf die Version 9.3.5 unter "Einstellungen" -) "Allgemein" -) "Software-Aktualisierung". Apple empfehle den Nutzern seiner Geräte, immer die aktuelle Version des Betriebssystems zu installieren, hieß es auf eine Nachfrage von SPIEGEL ONLINE.

Darüber hinaus gilt es weiter, bei Nachrichten unbekannter Herkunft vorsichtig zu sein und nicht auf Links in E-Mails oder SMS zu klicken, wenn der Absender unbekannt ist.

Sind Apple-Geräte jetzt nicht mehr sicher?

Apple-Geräte gelten trotz der aufgeflogenen Trident-Schwäche noch immer als vergleichsweise sicher. Das liegt unter anderem daran, dass bei Apple Soft- und Hardware von einem Hersteller kommen und komplett aufeinander abgestimmt sind. Andere Betriebssysteme wie Android haben das Problem, dass verschiedene Hersteller die Software auf einer großen Vielzahl an Geräten installieren, teils mit Modifikationen, was das Risiko erhöht, dass sich Schwachstellen ins System einschleichen.

Wegen der großen Gerätevielfalt bei Android-Geräten ist es auch vergleichsweise schwerer, Sicherheitslücken rasch zu schließen. Reicht es bei Apple, die Software zu modifizieren, müssen bei Android oft die Hersteller der Komponenten und die Geräteanbieter eingebunden werden. Daher kann es vorkommen, dass es mehrere Monate dauert, bis bekannte Sicherheitslücken geschlossen werden.

Ein weiterer Punkt, der für die größere Sicherheit von Apple-Geräten spricht, ist die größere Verbreitung von Betriebssystemen wie Android oder Windows im Gegensatz zu Mac OS und iOS. Je mehr potenziell angreifbare Geräte es gibt, desto größer ist die Verlockung, nach entsprechenden Schwachstellen zu suchen.

Auch bei Apple sind in der Vergangenheit immer wieder Sicherheitslücken bekannt geworden. So war es Angreifern möglich, sich über den digitalen Sprachassistenten "Siri" Zugang zum Adressbuch und zur Fotosammlung zu verschaffen. Ein anderer Angriff war über den Sperrbildschirm möglich. Auch über den App-Store konnten Hacker schon schadhafte Software auf iOS-Geräte bringen. Allgemein gilt: Keine Software ist sicher und Lücken gibt es immer wieder, in allen Geräten.

Wie ist die "Pegasus"-Attacke aufgeflogen?

Seit wann und wie häufig "Pegasus" für Attacken genutzt wird, ist unklar. Nach Einschätzung von Lookout ist die entdeckte Software "deutlich länger als ein Jahr" in Betrieb gewesen. In den Fokus geriet die Software jetzt, weil der Menschenrechtsaktivist Ahmed Mansoor verdächtige SMS weiterleitete, die Links zu einer unbekannten Website enthielten. Mansoor waren am 10. und 11. August in zwei Nachrichten "neue Geheimnisse" über gefolterte Häftlinge in den Vereinigen Arabischen Emiraten in Aussicht gestellt worden.

Er öffnete die Links nicht, sondern schickte sie von seinem iPhone 6 mit iOS 9.3.3 an das Citizen Lab der Universität von Toronto weiter. Deren Forscher wollten mehr über den Angriff herausfinden und öffneten den Link auf einem iPhone 5 im Auslieferungszustand. Als sie merkten, dass Software auf das Gerät aufgespielt wurde und offenbar unbekannte Lücken ausgenutzt werden, tauschten sie ihre Erkenntnisse mit Lookout aus. Das Citizen Lab und Lookout haben schließlich Apple über die Lücke informiert.

Wer ist die Firma, die hinter "Pegasus" stecken soll?

Nach Einschätzung des Citizen Labs ist "Pegasus" eine Spähsoftware des israelischen Unternehmens NSO Group - eine Bestätigung dafür gibt es bislang nicht. Für die Verbindung sprechen allerdings zum Beispiel bestimmte Dateinamen oder die Art der Links in den SMS.

Die 2010 gegründete Firma soll Überwachungssoftware für Mobilgeräte an Regierungen verkaufen, mittlerweile soll sie zu 70 Prozent der amerikanischen Private-Equity-Gesellschaft Francisco Partners gehören. Die soll im November 2015 einen Verkauf der Firma geprüft haben. Wie viele israelische High-Tech-Firmen hat die NSO Group ihren Sitz in Herzlija nördlich von Tel Aviv. Eine Website hat die Firma nicht, sie ist online weit weniger präsent als Mitbewerber.

Lookout schreibt in einem Bericht, die NSO Group soll sich nicht nur mit iOS-, sondern auch mit Android- und Blackberry-Spähsoftware beschäftigen. 2014 porträtierte das "Wall Street Journal" die Firma, auf Interviewanfragen wurde damals nicht reagiert. In einem älteren Interview soll ein Mitgründer der NSO Group gesagt haben: "Wir sind ein kompletter Geist. Wir sind völlig unsichtbar für das Ziel, wir hinterlassen keine Spuren." Zu den Entwicklern der NSO Group gehören laut israelischen Medienberichten ehemalige Mitarbeiter der Computerabteilung der Geheimdiensteinheit 8200.

Wie viele Firmen wie die NSO Group gibt es?

Firmen wie die NSO Group gibt es einige, etwa die sogenannte Gamma Group mit einem Ableger namens FinFisher in München und die italienische Firma Hacking Team. Hacking Team war im Sommer 2015 selbst ausgespäht worden, in einem Leak im Internet fanden sich zahlreiche Daten des Spähsoftware-Herstellers.

In der Vergangenheit soll sowohl mit FinFisher-, als auch mit Hacking-Team-Software versucht worden sein, Ahmed Mansoor auszuspähen. Einmal wurde ihm eine als PDF-Datei getarnte .EXE-Datei geschickt, einmal machten sich Angreifer eine Lücke in Microsoft Office zunutze. Hinzu kamen weitere Ausspähversuche mit anderer Software.

Firmen wie die NSO Group agierten im Zwielicht, sagte Lookout-Europachef Gert-Jan Schenk am Freitag. "Das Fehlen einer globalen Gesetzgebung dazu verhindert, dass man mehr über solche Unternehmen erfährt." Auch die Zusicherung der Entwickler, solche Programme nur an Regierungsbehörden zu verkaufen, reiche nicht aus. "Wenn sie in andere Hände geraten sollten, wird es sehr, sehr gefährlich."


Zusammengefasst: Mit einer Schadsoftware, die bis dahin unbekannte Schwachstellen in Apples iOS-Betriebssystem ausnutzt, wollten Unbekannte das iPhone eines Menschenrechtsaktivisten angreifen. Das Ausmaß der drei Sicherheitslücken ist enorm. Nutzer sollten unbedingt das von Apple bereitgestellte Update 9.3.5 installieren.

Mit Agenturmaterial

insgesamt 78 Beiträge
jj2005 26.08.2016
1. Apple wird interessant!
Bis jetzt habe ich immer einen weiten Bogen um dieses Lifestylezeugs gemacht. Aber wenn sich jetzt sogar Virenautoren dafür interessieren, mache ich vielleicht mal einen Versuch.
Bis jetzt habe ich immer einen weiten Bogen um dieses Lifestylezeugs gemacht. Aber wenn sich jetzt sogar Virenautoren dafür interessieren, mache ich vielleicht mal einen Versuch.
ColdFever 26.08.2016
2. Was ist mit älteren Apple-Geräten?
Was ist mit älteren Apple-Geräten, auf denen das Update 9.3.5 nicht installiert werden kann?
Was ist mit älteren Apple-Geräten, auf denen das Update 9.3.5 nicht installiert werden kann?
HerrH. 26.08.2016
3. Wie jetzt?
Prahlen nicht immer alle Apple Fanatiker damit dass das alles so unheimlich sicher wäre im Vergleich zu Android und Windows?
Prahlen nicht immer alle Apple Fanatiker damit dass das alles so unheimlich sicher wäre im Vergleich zu Android und Windows?
Dr. Murks 26.08.2016
4. Sonst wurde ja immer hämisch
über Windows und Android Bugs aus den Benutzerkreisen gelästert. Suum cuique.
über Windows und Android Bugs aus den Benutzerkreisen gelästert. Suum cuique.
zeichenkette 26.08.2016
5. Globale Gesetzgebung...
Was würde eine globale Gesetzgebung helfen, wenn niemand die Gesetze durchsetzen kann? Abgesehen davon wäre das ungefähr so sinnig, wie dem Körper zu verbieten, krank zu werden...
Was würde eine globale Gesetzgebung helfen, wenn niemand die Gesetze durchsetzen kann? Abgesehen davon wäre das ungefähr so sinnig, wie dem Körper zu verbieten, krank zu werden...

Verwandte Themen

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung

TOP