Pegasus: Es gibt keinen Schutz, aber Vorsichtsmassnahmen

Ein Schock für Journalisten weltweit: Da ist eine Software auf dem halboffenen Markt, die es jedem Käufer ermöglicht, kompletten Zugriff auf ihre iPhones, Android-Geräte oder Blackberries zu haben. Das Journalistennetzwerk Forbidden Stories hat dies in Zusammenarbeit mit dem Amnesty International Security Lab und anderen Partnern enthüllt. Damit sehen Journalisten sich und ihre Quellen in Gefahr.

Teilweise Entwarnung für dich: Die Software mit dem Namen Pegasus ist kein Tool zur Massenüberwachung. Das heisst, du bist nicht in akuter Gefahr. Pegasus, vom israelischen Unternehmen NSO Group hergestellt, wird von Regierungen verwendet. Offiziell zur Bekämpfung von Terroristen und Kriminellen, inoffiziell seit Jahren auch zur Überwachung von regierungskritischen Journalisten, Dissidenten und allgemein von Akteuren, die einer Regierung unbequem sind. Jedes Ziel von Pegasus muss von Hand ausgesucht werden. Als bünzlige Durchschnittsschweizerin oder -schweizer, bist du ziemlich sicher kein Ziel.

Trotzdem solltest du dich gegen Angriffe wie von Pegasus schützen. Denn die Technik, die Pegasus verwendet, kann von Hackern oder Staaten für andere Angriffe verwendet werden. Es ist also nicht ausgeschlossen, dass du mit derselben Technik angegriffen oder ausspioniert wirst, wie sie von der NSO Group und ihren Kunden verwendet wird. Die Technologie ist zwar nicht Open Source, aber sie existiert. Das alleine macht sie zu einem Risiko.

Daher: Ein präventives Schutzkonzept gegen eine Form von Angriffen, wie wir sie noch nicht gesehen haben.

Pegasus: Analyse eines Hacks

Pegasus hackt dein Smartphone. Die Weltpresse hat sich auf iPhones eingeschossen, aber NSO behauptet, dass sie jedes Smartphone jeder Plattform überwachen können. Es kann derzeit nicht verifiziert werden, ob das tatsächlich stimmt. Forbidden Stories und seine Partner – internationale Medienhäuser wie die Süddeutsche Zeitung und The Guardian – sind technologische Beweise bisher schuldig geblieben. Bisher. Denn die Geschichte um Pegasus, deren Partner und die Technologie werden uns noch eine Weile beschäftigen.

Was bekannt ist, ist die grobe Funktionsweise von Pegasus. Das reicht aus, um erste Verteidigungsstrategien zu entwickeln, inspiriert aber auch Angreifer, dieselbe Angriffsmethode – in der Fachsprache Attack Vector genannt – auszunutzen.

So funktioniert Pegasus (grobe Übersicht)

Um erfolgreich angreifen zu können, braucht der Hacker deine Telefonnummer und eine aktive Internetverbindung. Ausserdem muss das Gerät mit dem Pegasus Client infiziert sein.

Die Telefonnummer wird in einem Command and Control Server (CNC) eingegeben, womit das Smartphone offiziell an Pegasus angebunden ist.

Der CNC-Server ist unter der Kontrolle der Hacker. Im Falle von Pegasus sind das «ausgewählte Regierungs-Partner», die Pegasus von der NSO Group gekauft haben. Die NSO Group selbst gibt an, nicht an der direkten Überwachung beteiligt zu sein. Sie verkaufe lediglich die Software. Was andere damit machen, darin hätten sie keinen Einblick.

Die Infektion des Smartphones eines Ziels kann auf verschiedene Arten geschehen:

1. Malicious Links: Ein Link, der dir Gewinne, eine Sprachnachricht oder sonstwas verspricht, aber dazu führt, dass du Schadcode auf dein Handy lädst oder ausführst. Diese Links bekommst du per SMS oder E-Mail oder in einem beliebigen Messenger.
2. IMSI Catcher: Die Verbindung deines Phones mit dem nächstgelegenen Mobilfunkmast wird umgeleitet. Dies geschieht über ein drittes Gerät, einen IMSI Catcher, der sich als Mobilfunkmast ausgibt. Dein Phone verbindet sich mit dem Drittgerät, das den Traffic mit Schadsoftware infiziert und den Datenverkehr durch Verbindung zum echten Masten aufrecht erhält. Die NSO Group verkauft solche Geräte.
3. iMessage: Die Problematik mit iMessage ist dermassen komplex, dass sie nicht in einem Stichwort abgehandelt werden kann. Darum der Abschnitt «Problemkind iMessage»

Problemkind iMessage

Der Grund, weshalb die Medien sich so auf Apple eingeschossen haben: Die App iMessage nimmt bei der Infektion von iPhones eine Schlüsselrolle ein. Apples Ökosystem ist geschlossen und kann deshalb von aussen nicht eingesehen werden. Das schafft eine Plattform, die anderen Geräten im Ökosystem vertraut. Da geht der Grundsatz «Vertrauen ist gut, Kontrolle ist besser» manchmal unter.

In iMessage werden, sofern eine SMS über das iMessage-Netz versendet wird, Nachrichten viel Vertrauen entgegengebracht. Apple sichert im Hintergrund zwar ab, was sie absichern können, aber die Intransparenz und das grosse Interesse von Hackern lassen sich nicht von der Hand weisen. Ferner sind Security Researcher wenig beeindruckt ob der «anmassenden Selbstüberschätzung» Apples, wie Patrick Wardle sagt. Der Ex-NSA-Mitarbeiter ist Gründer der Mac-Security-Firma Objective-See. Es sei das Ego des Konzerns, die Angst vor der Offenheit und vor Negativschlagzeilen, die ein kooperatives Verhältnis zwischen Apple und Researchern unmöglich mache, sagt Patrick Wardle.

Apple bleibt trotz «anmassender Selbstüberschätzung» nicht untätig und entwickelt hinter verschlossenen Türen weiter: Der Konzern hat jüngst ein System namens BlastDoor eingeführt, das die Integrität von iMessages erhöhen soll.

Es scheint, als wäre Apple zu spät dran. «Es ist offensichtlich, dass NSO die BlastDoor besiegt hat», sagt Bill Marczak vom Citzen Lab im Gespräch mit dem Guardian.

Pegasus-Infektionen seien festgestellt worden bis und mit iOS Version 14.6, der bis am 20. Juli 2021 aktuellen Version des Apple-Betriebssystems. Es ist davon auszugehen, dass sich andere Hacker diesen Angriffsvektor zunutze machen oder machen werden.

Da die Installation der Spyware im steten Vertrauen des iMessage-Systems geschehen soll, wird von einem Zero-Click Exploit gesprochen, also einem erfolgreichen Angriff ohne Zutun des Ziels. Im Klartext heisst das, dass sich Software über iMessage installieren kann, ohne dass du einen Link aufrufen musst. Denn iMessage vertraut dem Sender, der auch iMessage verwendet. Dein iPhone denkt, dass die Nachrichten im Vertrauensverhältnis zwischen den zwei Geräten und Apples Ökosystem ausgetauscht werden. Wäre etwas unsicher, dann würden Mechanismen wie BlastDoor eingreifen.

Apple gibt sich in einem Statement der Washington Post gegenüber siegessicher: «Solche Angriffe haben nur eine kurze Lebensdauer», sagt Ivan Krstić, Head of Apple Security Engineering and Architecture. Und er fügt an, dass Apple solche Machenschaften mit Vehemenz bekämpfe.

Nach der Pegasus-Infektion: Was passiert?

Die genaue Funktionsweise mit allen technologischen Details ist noch unbekannt. Fest steht aber: Pegasus lädt sich selbständig herunter und installiert sich selbständig. Was genau Pegasus während der Installation tut, ist nicht bekannt. Fakt ist: Am Ende des Installationsprozesses hat Pegasus Root-Rechte auf deinem Phone, kann also auf alles zugreifen und alle Funktionen bedienen, sofern der Pegasus Client vom CNC-Server instruiert wird.

Pegasus trickst somit die systeminternen Sicherheitsvorkehrungen des Smartphones aus. Denn durch das Vortäuschen einer Vertrauensbeziehung wird dem Download vertraut und der Schadcode ausgeführt. Damit ist Pegasus in der sicheren Umgebung deines Smartphones angekommen. Alle Abschirmungen gegen Aussen sind ausser Kraft, da diese umgangen wurden.

Einmal installiert kann Pegasus oder eine ähnlich funktionierende Software frei in deinem System wüten. Sicherheitsupdates werden deaktiviert, denn Apple oder Google könnten die von Pegasus ausgenutzte Schwachstelle schliessen. Die Betreiber des CNC-Servers können daraufhin dein Phone komplett fernsteuern. Sie können die Kamera einschalten oder das Mikrofon, deine E-Mails lesen oder deinen Kontakten Messages schicken. Du kannst dir das so vorstellen, dass du einem Geheimdienst dein Smartphone entsperrt in die Hand drückst und sagst «Mach du mal». So kann Pegasus auch verschlüsselte Nachrichten mitlesen, was bedeutet, dass weder Threema noch Signal noch Telegram effektive Security bieten.

Wie genau Pegasus in dein iPhone oder dein Android-Gerät eindringt, wird wohl erst bekannt werden, wenn entweder via Reverse Engineering ein CNC-Server nachgebaut werden kann oder wenn ein echter CNC-Server entweder verkauft oder gehackt wird.

Wie du dich schützt

Noch einmal: Dir droht sehr wahrscheinlich keine akute Gefahr durch Pegasus. Es ist unwahrscheinlich, dass deine böse Ex sich an die NSO Group wenden kann und einfach so Zugriff auf Pegasus erhält. Selbst wenn da eine Geschäftsbeziehung zustande käme, so ist Pegasus nicht billig. Die Preise sind unbekannt, aber belaufen sich nach allen Berichten in der Höhe von mehreren Tausend Franken pro abgehörte Person. Das macht es auch unwahrscheinlich, dass die Regionalpolizei Visp Pegasus einsetzt, um den lokalen Weed-Dealer in Raron dingfest zu machen.

Trotzdem: Da ist ein Angriff, der keinerlei Zutun deinerseits erfordert und beliebige Software installieren kann.

Daher ein paar generelle Sicherheitstipps:

• Halte dein Smartphone immer up to date. Egal ob Android oder iPhone, mach die Updates sofort.
• Klicke nicht auf Links von unbekannten Absendern.
• Reboote dein Smartphone regelmässig. Manch eine Schadsoftware ist nicht in der Lage, einen Neustart zu überstehen.
• Sei generell vorsichtig, wenn du neue Apps installierst. Braucht die App wirklich all die Berechtigungen, die sie fordert?
• Verbinde dich nur mit öffentlichen WiFi-Netzwerken, denen du vertraust. Fremde, öffentliche Netzwerke solltest du allgemein vermeiden, aber wer macht das schon?
• Benutze eine VPN, sofern angebracht. Es gibt zig Anbieter, darunter Schweizer Unternehmen wie SnowHaze, dem ich persönlich vertraue.

Das ist aber kein absoluter Schutz, vor allem nicht gegen etwas so mächtiges wie Pegasus. Generell fährst du mit diesen Tipps aber nicht allzu schlecht.

Da Apple oft als Einfallstor genannt wird und Apple das grösste Stück vom Kuchen des Smartphone-Marktes hat, konzentrieren wir uns darauf. Es empfiehlt sich, dass du als Nutzer iMessage und FaceTime nicht vertraust. Apple bietet dir hier Hand und hat einen Guide für das iPhone veröffentlicht.

1. Geh auf Settings
2. Geh auf Messages
3. Schalt iMessage aus
4. Geh zurück in die Settings
5. Geh auf FaceTime
6. Deaktiviere FaceTime

Obwohl Pegasus kein Tool zur Massenüberwachung ist, besteht doch eine entfernte Möglichkeit, dass du mit der NSO'schen Spyware infiziert bist. Um diese zu überprüfen, hat Aktivist und Hacker Etienne «Tek» Maynier, Mitarbeiter des Amnesty International Security Labs, das Mobile Verification Toolkit (MVT) veröffentlicht.