Mithilfe eines Zero-Click-iMessage-Exploits wurde die Pegasus-Spyware auf den Smartphones von Journalisten und anderen prominenten Personen installiert.
Apple wirbt gerne damit, dass sein iPhone das sicherste Smartphone der Welt sei. Sie sprachen kürzlich darüber, dass ihre Smartphones das „sicherste mobile Verbrauchergerät auf dem Markt“ seien … unmittelbar nachdem Forscher einen Zero-Click-iMessage-Exploit entdeckt hatten, der zum Ausspionieren von Journalisten auf der ganzen Welt genutzt wurde.
Amnesty Internationaleinen Bericht veröffentlicht Neulich war das so peer-reviewed von Bürgerlabor, und der Bericht bestätigte, dass Pegasus – der NSO-Gruppe-gemachte Spyware – wurde über einen Zero-Day-Zero-Click-iMessage-Exploit erfolgreich auf Geräten installiert. Die Forscher entdeckten die Schadsoftware, die auf einem iPhone 12 Pro Max-Gerät mit iOS 14.6, einem iPhone, läuft SE2 mit iOS 14.4 und ein iPhone SE2 mit iOS 14.0.1. Für das Gerät mit iOS 14.0.1 war kein Zero-Day erforderlich ausbeuten.
Letztes Jahr wurde ein ähnlicher Exploit (genannt KISMET) auf iOS 13.x-Geräten eingesetzt, und die Forscher von Bürgerlabor stellte fest, dass sich KISMET erheblich von den Techniken unterscheidet, die Pegasus heute in iOS 14 verwendet. Pegasus gibt es schon seit langer Zeit und war es auch erstmals 2016 dokumentiert Als sich herausstellte, dass es drei Zero-Day-Schwachstellen auf iPhones ausnutzte, war es damals allerdings weniger ausgefeilt, da das Opfer noch auf den gesendeten Link klicken musste.
Die Washington Post detailliert wie die neue Exploit-Methode funktionierte, als sie das iPhone 11 von Claude Mangin infizierte, der französischen Ehefrau eines in Marokko inhaftierten politischen Aktivisten. Bei der Untersuchung ihres Telefons konnte nicht festgestellt werden, welche Daten aus dem Telefon herausgefiltert wurden, das Missbrauchspotenzial war jedoch außerordentlich hoch. Es ist bekannt, dass die Pegasus-Software E-Mails, Anrufaufzeichnungen, Social-Media-Beiträge, Benutzerkennwörter, Kontaktlisten, Bilder, Videos, Tonaufnahmen und Browserverläufe sammelt. Es kann Kameras und Mikrofone aktivieren, Anrufe und Voicemails abhören und sogar Standortprotokolle sammeln.
Im Fall von Mangin erfolgte der Angriff über einen Gmail-Benutzer mit dem Namen „Linakeller2203“. Mangin wusste nichts von diesem Benutzernamen und ihr Telefon wurde zwischen Oktober 2020 und Juni 2021 mehrmals mit Pegasus gehackt. Mangins Telefonnummer stand auf einer Liste mit mehr als 50.000 Telefonnummern aus mehr als 50 Ländern, überprüft von Die Washington Post und eine Reihe anderer Nachrichtenorganisationen. Die NSO Group gibt an, dass sie das Tool ausschließlich an Regierungsbehörden lizenziert, um Terrorismus und andere Dinge zu bekämpfen schwere Verbrechen, obwohl zahllose Journalisten, politische Persönlichkeiten und hochkarätige Aktivisten gefunden wurden Liste.
Die Washington Post Auch gefunden dass 1.000 Telefonnummern in Indien auf der Liste erschienen seien. 22 in Indien beschlagnahmte und forensisch analysierte Smartphones ergaben, dass zehn davon mit Pegasus angegriffen wurden, sieben davon erfolgreich. Acht von zwölf Geräten, bei denen die Forscher nicht feststellen konnten, dass sie kompromittiert waren, waren Android-Smartphones. Während iMessage der beliebteste Weg zu sein scheint, ein Opfer zu infizieren, gibt es auch andere Möglichkeiten.
Das Sicherheitslabor bei Amnesty International untersuchte 67 Smartphones, deren Nummern auf der Liste standen, und fand bei 37 davon forensische Hinweise auf Infektionen oder Infektionsversuche. 34 davon waren iPhones und 23 zeigten Anzeichen einer erfolgreichen Infektion. 11 zeigten Anzeichen einer versuchten Infektion. Nur drei von 15 untersuchten Android-Smartphones zeigten Hinweise auf einen Versuch, obwohl die Forscher anmerkten, dass dies daran liegen könnte, dass die Protokolle von Android nicht so umfassend waren.
Auf iOS-Geräten wird die Persistenz nicht aufrechterhalten und ein Neustart ist eine Möglichkeit, die Pegasus-Software vorübergehend zu entfernen. Oberflächlich betrachtet scheint das eine gute Sache zu sein, aber es hat auch die Erkennung der Software erschwert. Bill Marczak von Bürgerlabor ging zu Twitter, um einige weitere Teile im Detail zu erklären, einschließlich der Erklärung, warum die Pegasus-Spyware nicht aktiv ist, bis der Zero-Click-Angriff nach einem Neustart ausgelöst wird.
Ivan Krstić, Leiter von Apple Security Engineering and Architecture, gab eine Erklärung ab, in der er die Bemühungen von Apple verteidigte.
„Apple verurteilt eindeutig Cyberangriffe gegen Journalisten, Menschenrechtsaktivisten und andere, die die Welt zu einem besseren Ort machen wollen. Seit über einem Jahrzehnt ist Apple führend in der Branche bei Sicherheitsinnovationen. Daher sind sich Sicherheitsforscher einig, dass das iPhone das sicherste und sicherste mobile Verbrauchergerät auf dem Markt ist.“, sagte er in einer Erklärung. „Angriffe wie die beschriebenen sind hochentwickelt, kosten Millionen von Dollar in der Entwicklung, haben oft eine kurze Haltbarkeit und werden gezielt gegen bestimmte Personen eingesetzt. Das bedeutet zwar, dass sie für die überwiegende Mehrheit unserer Benutzer keine Bedrohung darstellen, wir arbeiten jedoch weiter unermüdlich, um alle unsere Kunden zu verteidigen, und wir fügen ständig neue Schutzmaßnahmen für ihre Geräte hinzu Daten."
Apple hat im Rahmen von iOS 14 eine Sicherheitsmaßnahme namens „BlastDoor“ eingeführt. Es handelt sich um eine Sandbox, die Angriffe wie Pegasus verhindern soll. BlastDoor umgibt iMessage effektiv und analysiert alle darin enthaltenen nicht vertrauenswürdigen Daten, während es gleichzeitig verhindert, dass es mit dem Rest des Systems interagiert. Telefonprotokolle angezeigt von Bürgerlabor zeigen, dass die von der NSO Group eingesetzten Exploits ImageIO betrafen, insbesondere das Parsen von JPEG- und GIF-Bildern. „Im Jahr 2021 wurden gegen ImageIO mehr als ein Dutzend hochschwere Fehler gemeldet“, Bill Marczak erklärte auf Twitter.
Dies ist eine sich entwickelnde Geschichte, und es ist wahrscheinlich, dass Apple bald ein Update herausbringen wird, das die von Pegasus in Apps wie iMessage verwendeten Exploits behebt. Solche Veranstaltungen unterstreichen die Bedeutung von monatliche Sicherheitsupdatesund warum es wichtig ist, immer die neuesten installiert zu haben.