Spyware für iOS: "Selbst Zeroday-Malware lässt sich durch einfache Tests erkennen"

Stefan Esser ist einer der bekanntesten IT-Security-Experten in Deutschland und arbeitet als Geschäftsführer der Kölner Sicherheitsfirma SektionEins. Er beschäftigt sich seit Jahren mit Apple-Produkten und hat auch schon Jailbreaks entwickelt.

Zuletzt schrieb er eine Software zur Erkennung von Manipulationen bei iOS-Geräten, die Apple aber nicht in seinem App Store haben wollte. Im Interview mit Mac & i spricht Esser über die Hintergründe der neuen iOS-Spyware "Pegasus" – und Apples konkrete Abwehrmöglichkeiten.

Mac & i: Herr Esser, hat Sie die Entdeckung der "Pegasus"-Spyware in der letzten Woche überrascht?

Stefan Esser: Es waren alle davon überrascht, weil es ohne Vorwarnung passierte. Die Überraschung war aber, dass endlich sowas "in the wild" gefunden wurde – und nicht, dass es so eine Software gibt.

Mac & i: Es war also abzusehen, dass es eine solche Spionagelösung für iOS einmal geben würde?

Esser: Jeder, der sich mit dem Markt beschäftigt, weiß, dass es nicht nur einen Anbieter für so eine Software gibt. Allerdings warteten auch alle seit Jahren darauf, dass so etwas in freier Wildbahn entdeckt wird. Im Grunde wollte wahrscheinlich jede Sicherheitsfirma, die gegen Advanced Persistent Threats kämpft, die Erste sein.

Mac & i: Welche Schuld trifft Apple, dass Pegasus möglich war? Basieren die drei ausgenutzten Lücken auf schlichten Programmierfehlern – oder muss Apple an sein grundlegendes Sicherheitskonzept heran?

Esser: Die bisherigen Berichte beschreiben mehr die Spionagefunktion und weniger die wirklichen Schwachstellen, die genutzt worden sind. Jede Software hat Lücken, daher würde ich nur von Schuld von Apple sprechen, wenn sich herausstellt, dass diese Schwachstellen schon länger intern bekannt waren, oder Schwachstellen waren, die zuvor halbherzig und falsch geschlossen worden sind – was Apple leider in den letzten Jahren in puncto Jailbreaks mehrmals gemacht hat.

Allerdings sprechen die Berichte davon, dass der Kommandozeilen-JavaScript-Interpreter JSC missbraucht wurde, um die Persistenz auf den Telefonen zu erreichen. Hier jedenfalls trifft Apple ganz klar Schuld: Dieser Interpreter wurde schon zu iOS-5-Zeiten missbraucht und Apple hatte den Interpreter in iOS 6 aus dem Dateisystem der iPhones gelöscht. Durch einen Fehler ist er aber dann in iOS 7 oder 8 plötzlich wieder aufgetaucht. Das ist also ganz klar ein Prozessfehler auf Seiten von Apple.

Mac & i: Wie bewerten Sie Apples Reaktion auf Pegasus? Ging der iPhone-Produzent so vor, wie man sich das von einem verantwortungsbewussten Hersteller wünscht?

Esser: Apple scheint diesmal unglaublich schnell gepatcht zu haben. Das ist vorbildlich – und man ist das nicht von ihnen gewöhnt, weil sie sich normalerweise ewig Zeit lassen. Da iOS ein Auto-Update-Feature hat und ansonsten auch iTunes ständig prüft, ob eine neue Version vorliegt, hat Apple ja den großen Vorteil gegenüber Android, dass ihre Kunden die Updates tatsächlich kriegen (und installieren werden) – und dass dies alles sehr schnell passiert.

Mac & i: Die Installation von Pegasus scheint für den Nutzer völlig transparent zu erfolgen – er klickt einen Link und das Gerät startet nicht einmal neu. Wenn man bedenkt, dass im Hintergrund ein kompletter Jailbreak abläuft, ist das durchaus erstaunlich. Gehen die Spyware-Entwickler besonders clever vor?

Esser: Die Tatsache, dass öffentliche Jailbreaks meist umständlich zu installieren sind, verleitet zu der Annahme, dass solche Drive-By-Jailbreaks heutzutage unmöglich wären. Leider täuscht das. Die Updates, die Apple alle paar Monate für iOS herausbringt, schließen jedesmal in allen Komponenten, die für Drive-By-Jailbreaks nötig sind, Lücken. Man sieht also, dass es zu jedem Zeitpunkt genügend Lücken gibt, so dass mehrere separate Drive-By-Jailbreaks entwickelt werden könnten.

Öffentliche Jailbreaks sind meist umständlicher zu bedienen, weil sie Lücken auswählen und kombinieren, die sich nicht für einen Drive-By-Jailbreak ausnutzen lassen würden. Offizielle Aussage der Jailbreaker hierzu ist: Wir nehmen solche Lücken, weil sich Apple immer länger Zeit lässt, diese Lücken zu schließen.

Mac & i: Wie viele Zeroday-Fehler für iOS schwirren Ihrer Ansicht nach noch in der Szene herum? Haben Sie weiterhin Seltenheitswert?

Esser: Man muss sich nur die Release Notes der iOS-Updates anschauen, um zu sehen, dass ständig Lücken im Browser, im Kernel und so weiter behoben werden. Es kommt immer nur darauf an, wer diese Lücken findet, ob sie bei Apple landen oder "in der Szene".

Mac & i: Mit Zerodays läuft ja ein schwunghafter Handel – Behörden und Geheimdienste sind Abnehmer ebenso wie Cyberkriminelle. Bleibt es dabei, dass iOS-Lücken im Vergleich zu anderen Betriebssystemen sehr teuer sind?

Esser: Daran wird sich wohl so schnell nichts ändern. Apples Bug-Bounty-Programm könnte allerdings die Preise noch weiter anheben, da ja andere mindestens die Apple-Bounties zahlen müssen.

Mac & i: Sie erwähnen es – Apple hat mittlerweile sein eigenes Bug-Bounty-Programm gestartet. Es soll bis zu 200.000 US-Dollar einbringen, wenn Lücken direkt an Apple gemeldet werden. Ist das hilfreich, den Markt auszutrocknen oder muss Apple noch mehr tun?

Esser: Apple bietet nur für einige spezifische Bereiche ein Bug-Bounty-Programm an. Die Lücken, die Apple dabei am teuersten bewertet, sind solche, die Malware wie Pegasus überhaupt nicht benötigt. Das heißt, Apple würde laut ihrer Tabelle wohl maximal 50.000 US-Dollar für Pegasus bezahlen. Der Markt wird damit nicht ausgetrocknet. Es wird lediglich einige Leute dazu animieren, versteckt nach Lücken zu suchen. Das heißt aber nicht, dass sie auch welche finden werden.

Mac & i: Ihre Firma SektionEins hatte im Mai ein iOS-Werkzeug vorgestellt, mit dem sich versteckte Jailbreaks erkennen lassen. Apple hatte es dann wieder aus dem App Store geworfen. Denken Sie, dass sich Apple jetzt überlegen wird, es wieder zuzulassen?

Esser: Nein. Es ist ziemlich klar, dass Apple unser Tool nicht im App Store haben will, weil sie etwas gegen unsere Firma haben. Jeglicher Appell an den App Store und der Hinweis darauf, dass die Features, die sie uns verbieten (und als Regelverstoß beschrieben werden) bei anderen wie z.B. Lookout geduldet werden, half nichts. Man bekommt von Apple dann so Antworten, dass nur weil andere Apps das machen, wir das noch lange nicht machen dürften, weil es ja ein Regelverstoß wäre.

Mac & i: Wie gut kann eine iOS-App solche Spyware tatsächlich erkennen, wenn man von Apples durchaus hartem Sandboxing ausgeht?

Esser: Die aktuelle Realität ist – und das hat Pegasus deutlich gezeigt: Selbst iOS-Zeroday-Malware "in the wild" lässt sich durch einfache Tests erkennen. Lookout erkennt Pegasus daran, dass ein paar Dateien im Dateisystem liegen, die dort nicht hingehören.

Das zeigt deutlich, dass die Entwickler von Pegasus wohl dafür gesorgt haben, dass die einfachen Standard-Jailbreak-Erkennungen (die in allen wichtigen Apps vorhanden sind) nicht anschlagen, aber ansonsten haben sie nicht dafür gesorgt, unsichtbar zu sein. Natürlich wird sich das mit der Zeit ändern, sollten mehr Malware-Detektoren in den App Store kommen.

Und was die Sandbox angeht: Apple prüft seit iOS 9 zur Laufzeit, ob bestimmte Bereiche des Kernels manipuliert worden sind. Das Problem dabei ist, dass es einfacher für Malware und Jailbreaks ist, diese Checks auszuhebeln, indem die Sandbox komplett gekillt wird – anstatt das nur selektiv für kleinere Bereiche zu tun. Das heißt: Wenn die Malware die komplette Sandbox ausschaltet, dann kann sie auch wieder leichter gefunden werden. (bsc)