Forensischer Bericht: iMessage-Lücke für Pegasus Spyware wird weiterhin genutzt

Inhaltsverzeichnis

Eine offene iMessage-Lücke wird aktuell noch zur heimlichen Installation von Spyware der NSO Group genutzt, wie aus dem forensischen Bericht von Amnesty International hervorgeht. Der technischen Analyse der iOS-Version zufolge konnte die Spionagesoftware Pegasus auf iPhones zwischen 2016 bis heute nachgewiesen werden. Apple untersuche das Problem bereits. Der Fokus bei der Analyse lag auf iOS Geräten, weil bei Android nur wenige forensische Spuren nach einem Neustart zu finden sind.

Pegasus Spyware

Die NSO Group verkauft ihre Überwachungssoftware Pegasus an Behörden, Geheimdienste und Militär. Doch die Software wurde laut dem Recherchenetzwerk "Forbidden Stories" nicht nur gegen Kriminelle eingesetzt. Dem Verbund fiel ein Datenleck von 50.000 Telefonnummern in die Hände, die mit der Software der NSO Group überwacht werden sollten. Darin fanden sich auch Nummern von Journalisten, Menschenrechtsaktivisten, Führungskräften, Militärangehörigen, Premierministern und Staatsoberhäuptern.

Die Spyware wurde unter anderem auf Smartphones in Frankreich und Ungarn gefunden. Laut dem Amnesty-Bericht hat sich die Art und Weise, wie die Spionagesoftware auf Smartphones gebracht wird, während der letzten Jahre immer wieder verändert: Früher durch SMS mit Links zu Webseiten, später über eingeschleuste Netzwerkpakete bis kürzlich durch iMessage Nachrichten in der iOS Version 14.6.

"Brückenkopf": Spuren in Logs

Bei untersuchten iOS Geräten tauchte demnach 2016 ein Prozess namens "bh" (steht vermutlich für "BridgeHead") in den Logs auf, der der Pegasus-Spyware zugeordnet wurde. Das konnte bei Analysen von iTunes Backups herausgefunden werden, die auch Log-Datenbanken wie "DataUsage.sqlite" beinhalten. Bevor BridgeHead weitere Spyware nachladen soll, werde immer der Apple CrashReport abgeschaltet, indem BridgeHead die Datei com.apple.CrashReporter.plist in /private/var/root/Library/Preferences/ schreibt. Dabei soll der Schadcode bereits durch eine Reihe von Lücken root-Berechtigungen erlangt haben.

Spuren des BridgeHead-Prozesses wurde den Angaben zufolge auch nach Netzwerkverkehr anderer Apps wie Apple Photos oder Apple Music in den Logfiles gefunden. Hier ist nicht klar, ob die Apps selbst unsicher sind oder waren; oder ob sie als Teil einer Kette von Sicherheitslücken dienen, um höhere Berechtigungen auf dem Gerät zu erreichen. Das Problem werde noch von Apple untersucht.

Laut dem Bericht versuchte die NSO Group auch Spuren in Logs zu verwischen, doch war dabei nicht gründlich genug. Sie löschten Einträge in der Tabelle ZPROCESS, aber nicht die zugehörigen Stellen in der Tabelle ZLIVEUSAGE. Außerdem versuchten sie mit ähnlich klingenden Prozessnamen die Auswertung zu erschweren.

Einfallstor iMessage

Amnesty berichtet von einem iPhone mit iOS 14.6 eines indischen Journalisten, das mit Pegasus über iMessages infiziert wurde. Demnach spielt bei dieser 0-Day die Verarbeitung von Fotos eine zentrale Rolle. Auf den Geräten befänden sich Logs von über 40 GIFs, die kurz vor den schädlichen Prozessen verarbeitet wurden. Das legt weitere Probleme mit dem ImageIO Framework nahe, dass für die Anzeige von Bildern zuständig ist. Wer auf iMessage verzichten kann, ist gut damit beraten, es zu deaktivieren.

Mit iOS Update 14.3, 14.4, 14.5 und 14.6 schloss Apple jedes Mal mindestens eine Sicherheitslücke in ImageIO, die beliebige Codeausführung durch speziell erzeugte Bilder ermöglichte.

Anzeichen einer Kompromittierung

Über Jahre hinweg beobachtete Citizen Lab, eine Gruppe von Forschern der Universität von Toronto, die Domains der Überwachungsfirma NSO Group. Die meisten der aufgedeckten Server sollen in Deutschland stehen. Danach folgt das Vereinigte Königreich, die Schweiz, Frankreich und die USA. Die NSO Group soll erst vor wenigen Monaten mit ihrer Infrastruktur auf Amazon CloudFront als Hosting-Anbieter gewechselt sein, die Infrastruktur wurde mittlerweile gekappt. Um selbst nach Hinweisen einer Kompromittierung zu suchen, listet Amnesty alle bekannten Domains, E-Mail-Adressen und Dateinamen der NSO Group in einem Github Repository auf.

Zusätzlich hilft das Mobile Verification Toolkit die Spuren einer Infektion auf Smartphones zu finden. Mit diesem Python-Werkzeug lassen sich Logs auf Android und iOS Geräten extrahieren. Da Android nur wenige verwertbare Logs nach einem Neustart enthält, hatte sich Amnesty auf iOS fokussiert, was nichts über die Sicherheit von Android-Geräten aussagt.

(ako)