Pegasus-Spyware und die Folgen
Kurz nachdem Apple das Sicherheits-Update iOS 9.3.5 für iPhones herausgebracht hat, veröffentlichte das Unternehmen auch für OS X 10.10 und OS X 10.11 Sicherheitsaktualisierungen.
Das Security Update 2016-001 für OS X 10.11.6 und das Security Update 2016-005 für OS X 10.10.5 beseitigen denselben Fehler des Safari-Browsers, der schon auf der iOS-Variante den Einbruch in ein ungepatchtes iPhone ermöglicht. Auch die zwei Kernel-Bugs, über die sich die Spyware Pegasus letztlich einnistet, sind in ungepatchten OS-X-Versionen enthalten.
Ob sich Pegasus-Attacken auch gegen Macs gerichtet haben, ist offen. Laut Medienberichten bezeichnete der Hersteller, die israelische NSO Group, die Software lediglich als „Multiplattform-Werkzeug für Android und Blackberry“. Auf Geräten mit iOS bis 9.3.4 hat die Spionagesoftware alle Schranken überwunden und ermöglichte dem Angreifer Audio- und Video-Mitschnitte, das Auslesen von Kontakten und anderes mehr.
Aber erst nachdem die Nachrichtenwelle über den Pegasus-Fall verebbte, kam heraus, dass das Aufdecken von Spyware für geschulte Entwickler noch trivial ist – selbst iOS-Zeroday-Malware „in the wild“ lässt sich einfach erkennen. Das erklärte Stefan Esser, IT-Security-Experte und Geschäftsführer der Kölner Sicherheitsfirma SektionEins im Gespräch mit Kollegen der Zeitschrift Mac&i (http://ct.de/-3306311). Lookout, eine iOS-App der gleichnamigen kanadischen Firma, die an der Aufdeckung von Pegasus beteiligt war, erkennt den Befall daran, dass einige Dateien im Dateisystem liegen, die dort nicht hingehören.
Esser schlussfolgert, dass sich Pegasus zwar vor Standard-Jailbreak-Erkennungen verbirgt, die in wichtigen Apps vorhanden sind. Ansonsten machten sich die Angreifer aber noch keine Mühe, Pegasus-Bestandteile zu verbergen. Das dürfte sich aber ändern, nachdem Pegasus entdeckt worden ist.
Um so bedeutsamer erscheint daher die Absicht einiger Firmen, iOS-Werkzeuge in den App-Store zu bringen, mit denen sich Jailbreaks und Spyware erkennen lassen. Doch Apple scheint da bisher mit zweierlei Maß zu messen. Während das Tool der Firma SektionEins, System and Security Info, kurz nach Veröffentlichung aus dem App-Store rausflog, blieb die Lookout-App drin. (dz@ct.de)