Gruselig

Hintergrund: Installiert sich Pegasus-Malware unsichtbar?

Dass es Viren und Malware gibt, wissen viele. Genauso viele glauben, dass es sie nicht betrifft, wenn man aufpasst. Das Programm "Pegasus" könnte aber "einfach so" aufs Smart­phone kommen. Eine Spuren­suche.

Apples iPhone galt eigentlich als recht sicher. Bis die Spionage Software Pegasus kam... Apples iPhone galt eigentlich als recht sicher. Bis die Spionage Software Pegasus kam...
Foto: Picture-Alliance / dpa
In den vergan­genen Tagen berichten verschie­dene Nach­rich­ten­agen­turen, dass da draußen ein Spio­nage-Tool namens Pegasus umher­schwirrt, das von verschie­denen "auto­ritären" Regie­rungen, beispiels­weise von Mexiko, Marokko oder den Verei­nigten Arabi­schen Emiraten verwendet wurde. Regie­rungen, die bren­nend daran inter­essiert sind, die Tele­fone ihrer Kritiker zu knacken, seien es Jour­nalisten, Akti­visten, Poli­tiker oder Führungs­kräfte aus der Wirt­schaft. Hersteller dieser "Spyware" ist übri­gens ein Unter­nehmen namens "NSO Group" aus Israel (teltarif.de berich­tete).

50.000 Betrof­fene?

Apples iPhone galt eigentlich als recht sicher. Bis die Spionage Software Pegasus kam... Apples iPhone galt eigentlich als recht sicher. Bis die Spionage Software Pegasus kam...
Foto: Picture-Alliance / dpa
Dazu war eine Liste mit 50.000 betrof­fenen Tele­fon­num­mern poten­zieller Über­wachungs­ziele durch­gesi­ckert, welche die in Paris ansäs­sigen Jour­nalismus-Non-Profit-Orga­nisa­tionen "Forbidden Stories" und "Amnesty Inter­national" zusam­men­gestellt und den Bericht­erstat­tern wie die renom­mierten Zeitungen "The Washington Post" oder "The Guar­dian" zur Verfü­gung gestellt hatten.

Forscher konnten die Tele­fone von Dutzenden von Opfern analy­sieren und dabei bestä­tigen, dass diese von der Pegasus-Spio­nage­soft­ware der NSO erfasst wurden, die auf alle Daten auf dem Telefon einer Person zugreifen kann.

Auch Ungarn hat die Soft­ware gekauft

Neben den bereits genannten Ländern habe auch Ungarn diese NSO-Soft­ware gekauft hat. Ungarn ist ein Mitglied der Euro­päi­schen Union, wo der Schutz der Privat­sphäre vor Über­wachung eigent­lich ein Grund­recht für seine 500 Millionen Einwohner sein sollte.

Aus dem Bericht wird erst­malig deut­lich, wie viele mehr Einzel­per­sonen mögli­cher­weise Ziel einer Über­wachung auf Gerä­teebene geworden sind. Vorher war nur von wenigen Hundert oder Tausend Betrof­fenen die Rede.

Einziger schwa­cher Trost: Der Hersteller NSO verlangt pro Über­wachung knackige Preise, was die Menge der ausspio­nierten Geräte mögli­cher­weise doch etwas redu­ziert haben könnte. Sicher ist das aber nicht.

Können Betrof­fene den Schäd­ling finden?

Da stellt sich die Frage, wie ein inter­essierter Nutzer selbst fest­stellen kann, ob er oder sie von diesem Spio­nage-Tool betroffen sein könnte.

Am fundier­testen sind noch die Infor­mationen des Maga­zins Tech­crunch wo auch Hinweise zur Analyse und Erken­nung gegeben werden.

Amnesty Inter­national hat dazu eine eigene Webseite einge­richtet, die als "verdächtig" erkannte Web- und kryp­tische Down­load-Seiten mit unge­wohnten Port-Nummern benennt und Hinweise gibt, wo und wie man sich solche Dinge einfangen könnte.

Bei iPhones sorgt die Pegasus Soft­ware anschie­ßend dafür, dass Absturz-Fehler­mel­dungen an Apple unter­blieben und dass auch aktu­elle Sicher­heits-Updates nicht mehr ausge­führt werden (können). Wer also ein aktu­elles iPhone besitzt, dass sich nicht aktua­lisieren lässt, sollte den Fall umge­hend genauer unter­suchen (lassen).

Instal­lation ohne Zutun des Nutzers

Das fatale an "Pegasus" ist, dass diese Soft­ware selbst auf dem als "sicherer" geltenden iPhone aus der Ferne instal­liert werden kann, ohne, dass die Nutzer wissen, was passiert. Auslöser ist ein merk­wür­diger Link. Wird der geöffnet, wird das Telefon infi­ziert, still und ohne jegliche Inter­aktion durch einen "Zero-Click"-Exploit, der Schwach­stellen in der iPhone-Soft­ware ausnutzt. Es könnten aber auch myste­riöse WhatsApp-Nach­richten oder geheim­nis­volle Kurz­mit­tei­lungen oder FaceTime-Anrufe oder iMessage-Nach­richten sein.

Amnesty Citizen Lab-Forscher Bill Marczak sagte in einem Tweet, dass die Zero-Clicks von NSO sogar noch auf iOS 14.6 funk­tio­nierten. Wie es bei dem aktu­ellen Version 14.7 oder der kommenden 15.0 sein wird, ist nicht bekannt.

Werk­zeuge zur Aufspü­rung durch Profis

Amnesty Inter­national hat unter dem Begriff "MVT"auf Github einige Tools und Hinweise zur Analyse veröf­fent­licht. Die erfor­dern aller­dings Kennt­nisse und den Einsatz von Linux. Der MVT-Ansatz unter­sucht auf einem Linux-Rechner (hilfs­weise geht auch macOS von Apple) ein bereits ange­legtes komplett-Backup eines iPhones beispiels­weise danach, ob dort Spuren von Pegasus zu finden sind. Das hat den Charme, dass der Hersteller NSO bzw. die Auftrag­geber von der Analyse nichts mitbe­kommen sollten.

Das Mobile Veri­fica­tion Toolkit (MVT) funk­tio­niert sowohl für iPhones als auch für Android-Geräte. Amnesty fand heraus, dass Pegasus auf iPhones mehr Spuren hinter­lässt als auf Android-Geräten. Wer ein verschlüs­seltes iPhone-Backup nutzt, soll MVT auch verwenden können, um das Backup zu entschlüs­seln, ohne eine komplett neue Kopie erstellen zu müssen.

Und Anti­viren-Soft­ware?

Zwei Hersteller von Anti­virus-Soft­ware meldeten zu Wort und machten auf die Proble­matik aufmerksam. Auf Nach­frage von teltarif.de teilte uns der Anbieter Avast mit, dass die aktu­elle Version (Virus Defi­nition Version 210719-00) von "Avast Mobile Secu­rity" für Android Pegasus erkennen und blockieren könne. Nicht nur das, die Nutzer erhielten die Option, die Pegasus-Appli­kation zu entfernen.

Bei iOS (Apple) kann Avast nur vorsor­gend helfen. "Das Betriebs­system von Apple ist als geschlos­senes System aufge­baut, dessen Apps in soge­nannten 'Sand­boxes' sitzen und nicht auf andere Apps zugreifen können. Dies macht das iOS-Betriebs­system gene­rell sicherer. Das bedeutet aber auch, dass tradi­tio­nelle Anti­viren­schutz­mecha­nismen, wie das Scannen des Geräts auf neu instal­lierte Apps, vom System nicht zuge­lassen werden."

Jedoch blockiere die WebShield-Funk­tion in Avast Mobile Secu­rity für iOS bösar­tige Phis­hing-URLs und schützt den Anwender so vor Pegasus, wenn der Angriff über eine Phis­hing-URL erfolge.

Avast warnt auch davor, dass Pegasus den "Zero-Click"-Angriffs­mecha­nismus verwendet, was bedeutet, dass keine Benut­zer­aktion erfor­der­lich ist, um die Spyware zu instal­lieren. In diesem Fall ist es zum Beispiel möglich, ein Gerät einfach über einen WhatsApp-Anruf zu infi­zieren, auch wenn der Anruf nicht beant­wortet wird. In neueren Fällen haben Forscher auch beschrieben, dass Pegasus über eine Zero-Day-Schwach­stelle in Apples iMessage-App Zugriff erhielt.

Kaspersky: Secu­rity Cloud und aktu­elle Updates

Der Viren­jäger Kaspersky antwor­tete uns: "Produkte wie Kaspersky Secu­rity Cloud sind mit Anti-Phis­hing und Anti-Malware ausge­stattet, die den Daten­ver­kehr schützen. Kaspersky kate­gori­siert DNS-Anfragen vom System und wenn sie zu Phis­hing- oder Malware-Domains führen, erkennt und blockiert das Produkt diese. Wenn die Domains, mit denen Pegasus verbunden ist, als bösartig einge­stuft werden, erkennt und blockiert Kaspersky Secu­rity Cloud diese Anfragen."

Ansonsten empfiehlt Kaspersky, alle Geräte auf dem neuesten Stand zu halten, da einige der Exploits bis ins Jahr 2019 zurück­rei­chen. Darüber hinaus kann Kaspersky Secu­rity Cloud in einigen Fällen die Bedro­hung durch indi­rekte Indi­katoren erkennen - zum Beispiel anhand der Repu­tation beim Zugriff auf DNS.

Gruse­lige Situa­tion

Bislang waren viele erfah­rene Anwender davon ausge­gangen, bei umsich­tiger Verwen­dung vor solchen Angriffen sicher gewesen zu sein. In Zukunft sollte man also Nach­richten unklarer Absender behutsam öffnen und enthal­tene Links besser nicht öffnen. Auch könnte es ratsam sein, externe Messa­ging-Programme nicht zu instal­lieren oder bei iPhones mögli­cher­weise auch auf iMessage und FaceTime zu verzichten, bis es hier eine Klärung der Sicher­heit gibt.

Bei Reisen in poli­tisch kriti­sche Gebiete kann es durchaus sinn­voll sein, dort ein eigenes Gerät mit eigenen dafür ange­legten Reise-Konto von Apple oder Google zu verwenden, das nur die aller­not­wen­digsten Infor­mationen enthält und das Gerät mit dem kompletten Daten­bestand daheim zu lassen.

Sollte es bei Kata­stro­phen­lagen ein regio­nales Roaming zwischen den deut­schen Netz­betrei­bern geben?

Mehr zum Thema Sicherheit