Analyse: Wie die iPhone-Spyware Pegasus vorging

Mit dem Spionage-Tool können Behörden und Kriminelle nicht nur die alle Inhalte auslesen, sondern auch Mikrofon und Kamera von iPhones aktivieren. Wie geht das?

Artikel verschenken

4

(Bild: Sergey Nivens, stock.adobe.com)

05.05.2022, 08:00 Uhr

Lesezeit: 11 Min.

Mac & i

Von

Tobias Engler

Analyse: Wie die iPhone-Spyware Pegasus vorging
- Angriff ohne Zutun des Nutzers
BlastDoor: Der Torwächter
Per Pufferüberlauf ins Innerste
Nachbau eines Mini-Computers

Pegasus ist eine Spionage-Software, die einen vollständigen Zugriff auf Smartphones erlaubt – aus der Ferne wohlgemerkt, und ohne dass der Besitzer dies bemerkt. Angreifer können mit ihr nicht nur Apps überwachen, sondern sogar Ende-zu-Ende-verschlüsselte Chats oder Gespräche mitlesen oder -hören. Was für Sicherheitsbehörden und Kriminelle verheißungsvoll erscheint, ist für Menschenrechtsaktivisten und gefährdete Zielgruppen ein Albtraum.

Obwohl der israelische Hersteller NSO Group vorgibt, seine Technologie nur für "gute Zwecke" anzubieten, gab es mehrere Fälle, in den sich Journalisten, Aktivisten und Dissidenten einem Angriff ausgesetzt sahen.

Die Spionage-Software "Pegasus" des israelischen Herstellers NSO nutzt Schwachstellen aus, um über den Angriff (Exploit genannt) vollen Zugriff auf das System zu erhalten.
FORCEDENTRY ist ein sogenannter 0-Klick-Exploit, der kein Zutun des Nutzers erfordert.
FORCEDENTRY hebelt vorhandene Sicherheitsmechanismen wie BlastDoor geschickt aus.
Der Aufwand und die Expertise, die diesem Exploit zugrunde liegen, sind erheblich und nicht mit üblichen Hacks vergleichbar.

Auf einzelnen iPhones ließen sich gar gleich mehrere Angreifer identifizieren, zu den Herkunftsländern zählten unter anderem Saudi-Arabien, die Vereinigten Arabischen Emirate und Israel. Die US-amerikanische Regierung hat NSO mittlerweile auf eine Art Rote Liste gesetzt (Entity List), um geschäftliche Beziehungen zwischen amerikanischen Unternehmen und NSO erheblich zu erschweren.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Das Musikprogramm Ableton Live 12 im Test

Die Schlagwortsuche und die einfachen Möglichkeiten, Skalen und Stimmungen zu wechseln, beschleunigen die Arbeit mit dieser digitalen Audio-Workstation.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Smartes Türschloss im Test: Nuki 4 Pro mit Thread und Matter

Das Nuki 4 Pro verwebt sich via Thread-Funk mit dem Heimnetz und braucht so beim Fernzugriff weniger Energie. Die Matter-Anbindung bringt offline Vorteile.

Fürs Homeoffice: Elektrisch höhenverstellbare Schreibtische im Test

Acht Stunden lang sitzen – danach schmerzt der Rücken. Elektrische Stehschreibtische erleichtern es, sich im Büroalltag zu bewegen. Wir testen vier Modelle.

Ikea Home Smart im Überblick

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Mit KI-Sprechtrainern lassen sich Konversationen auf einer anderen Sprache wie mit einem richtigen Menschen führen – ohne Angst, sich zu blamieren.

Das Musikprogramm Ableton Live 12 im Test

Die Schlagwortsuche und die einfachen Möglichkeiten, Skalen und Stimmungen zu wechseln, beschleunigen die Arbeit mit dieser digitalen Audio-Workstation.

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Viele prominente Websites bieten das sichere Einloggen per Passkey an. Die Eingabe des Passworts fällt flach und Phishing gehört der Vergangenheit an.

Passkeys in eigenen Anwendungen

Smartes Türschloss im Test: Nuki 4 Pro mit Thread und Matter

Das Nuki 4 Pro verwebt sich via Thread-Funk mit dem Heimnetz und braucht so beim Fernzugriff weniger Energie. Die Matter-Anbindung bringt offline Vorteile.

Fürs Homeoffice: Elektrisch höhenverstellbare Schreibtische im Test

Acht Stunden lang sitzen – danach schmerzt der Rücken. Elektrische Stehschreibtische erleichtern es, sich im Büroalltag zu bewegen. Wir testen vier Modelle.

Ikea Home Smart im Überblick

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Analyse: Wie die iPhone-Spyware Pegasus vorging

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Das Musikprogramm Ableton Live 12 im Test

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Smartes Türschloss im Test: Nuki 4 Pro mit Thread und Matter

Fürs Homeoffice: Elektrisch höhenverstellbare Schreibtische im Test

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen

Das Musikprogramm Ableton Live 12 im Test

Statt Passwörter: Wie Sie Accounts mit Passkeys schützen

Smartes Türschloss im Test: Nuki 4 Pro mit Thread und Matter

Fürs Homeoffice: Elektrisch höhenverstellbare Schreibtische im Test

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.