In den vergangenen Wochen ist die Spionagesoftware Pegasus einer breiteren Öffentlichkeit bekannt geworden – zeigte eine gemeinsame Recherche mehrerer Medien doch auf, dass die Tools der israelischen NSO Group bei weitem nicht so sorgsam ausgewählt eingesetzt werden, wie der Hersteller es gerne betont. Eine durchgesickerte Liste an Zielpersonen enthielt nicht nur zahlreiche Journalisten und Menschenrechtsaktivisten, selbst der französische Präsident Emmanuel Macron fand sich darauf.

Technische Fragen

Die Aufregung war groß, wochenlang wurde vor allem über die sich aufdrängenden politischen Fragen diskutiert. Die technische Ebene verkam dabei fast zum Nebenschauplatz – allerdings zu Unrecht. Immerhin funktioniert Pegasus nur, weil sich die Firma um viel Geld Wissen über zuvor unbekannte Sicherheitslücken kauft und diese dann gezielt gegen ihre Opfer einsetzt – sogenannte Zero-Day-Lücken. Das wiederum brachte nicht zuletzt Apple unter Druck, scheint NSO doch besonders gern Lücken in Apples Messengerdienst iMessage zum Einsatz zu bringen.

Ein neuer Bericht fügt sich insofern perfekt in dieses Bild ein: Wieder geht es um Pegasus, wieder wird eine bislang unbekannte iMessage-Lücke genutzt, und einmal mehr ist ein Menschenrechtsaktivist das Ziel. Die Sicherheitsforscher des zur Universität von Toronto gehörenden Citizen Lab berichten über einen Angriff auf einen aus Bahrain stammenden Aktivisten. Dessen iPhone soll mithilfe einer zuvor unbekannten Sicherheitslücke mit der Spyware infiziert worden sein. In der Folge hätten staatliche Spione sämtliche Aktivitäten auf seinem Gerät überwachen können, also Nachrichten mitlesen, Fotos einsehen oder auch den Standort abfragen.

Wieso iMessage?

Dass iMessage ein besonders beliebtes Ziel für solche Attacken ist, hat mehrere Gründe. Da wäre zunächst der Umstand, dass es auf sämtlichen iPhones vorinstalliert ist, wer eine Nachricht an ein solches Gerät schickt, kann sich also sicher sein, dass diese bei iMessage ankommt. Vor allem aber ermöglichen Lücken hier sogenannte "Zero Click"-Attacken. Im Gegensatz zu klassischen Phishing-Angriffen, die üblicherweise darauf setzen, dass das Opfer auf einen Link klickt, reicht es hier aus, der Zielperson eine Nachricht zu schicken. Diese hat insofern auch keine Chance, durch ihr eigenes Handeln einen Angriff abzuwehren. Grund dafür ist, dass iMessage sämtliche Nachrichten direkt beim Eintreffen automatisch verarbeitet, um sie für die Darstellung entsprechend aufzubereiten.

Diese sensible Kombination macht einen anderen Umstand besonders unerfreulich: iMessage hat sich in den vergangenen Jahren als ein nie versiegender Quell an Sicherheitslücken herausgestellt. Mit iOS 14 hat Apple im Vorjahr dann nach wachsender Kritik eine tiefgreifende Umarbeitung von iMessage vorgenommen. Unter dem Namen "Blastdoor" wurden dabei jene Dienste, die für die automatische Verarbeitung der eingehenden Nachrichten zuständig sind, in eine sogenannte Sandbox gepasst, also vom restlichen System isoliert. Wie die aktuellen Vorfälle zeigen, scheint diese Maßnahme aber nicht den erhofften Erfolg gezeigt zu haben. Die Angreifer haben rasch neue Tricks gefunden, um die Sicherheitsverschärfungen zu umschiffen.

Reaktion

Unerfreulich ist allerdings auch Apples Umgang mit dem aktuellen Bericht. So wollte man auf Nachfrage von Techcrunch zunächst nicht auf die Frage eingehen, ob man die betreffende Lücke mittlerweile gefunden und bereinigt hat. Citizen Lab betont hingegen, dass man Apple bereits vor einige Zeit informiert habe. Das betreffende Smartphone des Aktivisten sei zum ersten Mal bereits im Februar 2021 gehackt worden, die aktuellsten Belege für erfolgreiche Hacks über diesen betreffenden Exploit habe man für iOS 14.4 und 14.6. Wie es mit neueren Versionen aussieht, sei unklar. Apple hat zwar mit iOS 14.7.1 gerade erst eine Lücke geschlossen, die die Ausführung von Schadcode durch manipulierte Bilddateien erlaubt, was zu der Beschreibung passen würde. Freilich könnte es sich dabei genauso gut um eine ganz andere Lücke handeln.

Statt konkreter Informationen gibt es von Apple also allgemeine Formulierungen zu dem Thema, die praktisch wortident zu dem sind, was schon vor einigen Wochen zu hören war – nämlich dass man solche Angriffe verurteile und laufend daran arbeite, die Sicherheit von iPhones zu verbessern. So soll etwa das kommende iOS 15 nochmals strukturelle Verbesserungen in Hinblick auf die iMessage-Sicherheit bringen. Dass man dabei nicht im Geringsten auf den konkret genutzten Exploit eingeht, nährt jedenfalls die Befürchtung, dass die dahinterstehende Lücke derzeit tatsächlich noch offen stehen könnte.

Kundenstamm

Bahrain gehört zu den treuesten Kunden von NSO, die Nutzung von Pegasus durch die lokale Regierung ist mehrfach belegt. So fanden sich auch mehrere aus Bahrain stammende Personen auf der vor wenigen Wochen geleakten Liste an Pegasus-Zielpersonen. (Andreas Proschofsky, 25.8.2021)