Alle dezenten Andeutungen und klaren Worte von Edward Snowden scheinen sich bewahrheitet zu haben: Smartphones sind nicht die sichersten. Dabei ist es völlig egal, ob nun Android oder iOS als Betriebssystem genutzt wird — der Trojaner Pegasus findet seinen Weg auf beide dieser Systeme.
Die israelische Firma NSO vertreibt diese „Cyberwaffe“ — selbstredend nur an geprüfte und berechtige Staaten und so.
Dabei ist es jedoch unklar, ob sich nicht schon längst jemand diese Software unter den Nagel gekrallt hat und diese nach bös dünken im Einsatz hat.
Besonders besorgniserregend ist dabei, wie „einfach“ die Software auf das Handy kommt.
Einfach in Anführungszeichen, denn der Weg ist durchaus komplex, allerdings für den Betroffenen völlig unsichtbar erlebbar:
Wie kommt die Spähsoftware Pegasus aufs Handy?
NSO bietet, je nach Betriebssystem und Handymodell, verschiedene Wege an, über die sich das Smartphone infizieren lässt.
Der gute alte Weg ist dabei eine gefälschte Nachricht mit einem Link. Und das kann ja heutzutage alles sein. Die Bank, ein Lieferdienst oder sonstige Dienste, bei denen man womöglich registriert ist.
Das perfide ist, dass der Link sogar funktioniert und nicht auf eine schlecht gemachte Kopie der Webseite leitet, sondern auf das Original. Zwischendurch jedoch, wird eben fix ein kleiner Teil von Pegasus installiert.
Wesentlich beängstigender ist allerdings der für den Angreifer komfortabelste Weg, den Pegasus nehmen kann: eine stille Nachricht. Keine Push-Notification erscheint, keine ungelesenen Nachrichten erscheinen auf dem Smartphone, da ist einfach gar nichts. Darüber lädt Pegasus dann den ersten Teil seines Schadcodes herunter. Diese Sicherheitslücke besteht zumindest noch bewiesen in iOS 14.6. Über den Stand bei iOS 14.7 ist derzeit nichts bekannt.
Erstinfektion erledigt — und nun?
Ist der erste Teil der Schadsoftware erstmal installiert, begibt diese sich semi-intelligent auf die Suche, um in installierten Apps bis dato unbekannte Sicherheitslücken zu finden und darüber den restlichen Code herunterzuladen. Mit dem vollen Programmcode von Pegasus kann die Software dann das Sandboxing (in kurz: isolierte Prozesse die keinen Zugriff auf das gesamte System haben) aufheben und über selbst den Betriebssystem-Herstellern unbekannte Sicherheitslücken sogar bis in den Kernel (in kurz: zentrale Softwareschicht eines Betriebssystems) vordringen.
So erhält Pegasus Zugriff auf das gesamte Smartphone, alle Apps, Speicher und Schnittstellen (Bluetooth, WLAN, Kamera, Mikrofone, GPS, etc.).
Es kann somit so ziemlich alles überwacht werden, was man mit dem Handy tut oder so man es hin mitnimmt.
Und das alles, ohne dass man etwas davon merkt.
Die Liste der prominenten Opfer ist inzwischen lang:
- Aserbaidschanische Journalisten
- Frankreichs Präsident Emmanuel Macron
- der frühere französische Ministerpräsident Edouard Philippe
- 14 weitere französische Minister
- über 300 ungarische Regierungskritiker, Journalisten, Unternehmer und Anwälte
Natürlich dementiert die Firma NSO dies alles und gibt an, dass solche Listen überhaupt nicht existieren würden, da sie gar keinen Zugriff auf die Überwachungsziele ihrer Kunden hätten.
Butter bei die Fische:
Wie prüfe ich, ob mein Handy von Pegasus befallen ist?
Da man von Pegasus auf dem eigenen Handy nichts echt oder hört, kann man auf den ersten Blick überhaupt nicht sagen, ob das eigene Gerät davon betroffen ist. Da Pegasus recht teuer ist und ja doch ein wenig Aufwand zum Einen in die Installation und Überwachung aber zum Anderen vor allem ja auch in die spätere Auswertung der erhobenen Daten gesteckt werden muss, ist jedoch erstmal davon auszugehen, dass nur gezielte Personen überwacht wurden und nicht gleich jeder Hans & Franz, der ein Smartphone hat.
Aber wissen ist besser als glauben!
So habe ich mal versucht, mein eigenes Handy auf Spuren von Pegasus zu scannen und in diesem Artikel will ich mein zusammengesuchtes Wissen einmal sammeln und weitergeben.
Vielleicht hat ja jemand Spaß daran, sich das auch mal anzutun:
iPhone nach Pegasus scannen
Voraussetzungen
Damit der Scan gelingt, benötigt man ein lokales Backup seines iPhones. Kein iCloud-Backup und bestenfalls ist das lokale Backup nicht verschlüsselt. Mit der Forensik-Software lassen sich zwar auch Backups anfertigen oder bestehende, verschlüsselte Backups entschlüsseln, aber einfacher und schneller ist es natürlich, wenn man einfach ein unverschlüsseltes, lokales Backup zur Hand hat.
Womit wir auch schon bei der nächsten, nicht zu vernachlässigen Voraussetzung wären: Zeit.
Wenn noch kein Backup existiert, muss man erst noch eines anfertigen und auch die Analyse läuft eine Weile.
Die Analyse habe ich aus Sicherheitsgründen auf einem Wegwerf-Linux-System ohne Verbindung zum lokalen Netzwerk durchgeführt — man weiß ja nie.
Mobile Verification Toolkit (MVT) installieren
Falls noch nicht bereits im Standard direkt mitinstalliert, benötigt die Forensik-Software MVT Pip und Python, welche wir flugs installieren:
sudo apt install python3 python3-pipDamit die Software sauber durchläuft, erweitern wir noch eben die Path-Variable um den bin-Ordner:
export PATH=$PATH:~/.local/binDanach können wir die eigentliche Software installieren. Ich habe mich dazu entschieden mir den Quelltext direkt aus dem Repository zu holen und über pip zu installieren:
git clone https://github.com/mvt-project/mvt.gitcd mvtpip3 install .Das war der einfache und schnelle Teil der Einrichtung.
Scan des Backups nach Pegasus-Fragmenten
Jetzt geht es daran, die Analyse zu starten. Und damit das MVT auch weiß, nach welchen Besonderheiten es suchen soll, benötigen wir noch eine Datei, in der — vereinfacht gesagt — steht, woran man Pegasus erkennen kann.
Die gibt es dankenswerterweise auch, stets aktuell, als pegasus.stix2 bei GitHub.
In meinem Beispiel liegt das zu analysierende, bereits unverschlüsselt vorliegende Backup des iPhones im Verzeichnis „~/documents/pegasus/iosbackup“ (das Tilde-Zeichen gibt das Home-Verzeichnis meines Users an). Mit dem folgenden Befehl starten wir MVT für iOS und lassen es das Backup auf Fragmente von Pegasus, die in der STIX-Datei (mehr Informationen zu STIX v.2) stehen, scannen und die Ergebnisse in das „logs„-Verzeichnis schreiben:
mvt-ios check-backup -o ~/documents/pegasus/logs -i ~/documents/pegasus/pegasus.stix2 ~/documents/pegasus/iosbackup/Die Analyse läuft eine Weile und gibt über die Konsole den aktuellen Stand aus. Ein paar Warnings und Errors hier und dort stören nicht weiter.
Sobald der Befehl durchgelaufen ist, können wir in das Logverzeichnis schauen und uns auf die Suche nach Dateien machen, die den Suffix „_detected“ erhalten haben.
Diese kennzeichnen bestimmte Bereiche von iOS in denen potentielle Hinweise auf Pegasus gefunden worden sind. Sollte das bei Dir der Fall sein und sich dabei um com.apple.CrashReporter.plist handeln, so besteht kein grundsätzlicher Grund zur Sorge, denn diese Informationen können auch von früheren Versionen von iOS kommen und sind nicht zwangsläufig ein Beweis für die Existenz von Pegasus auf Deinem Smartphone.
Sollten weitere Bereiche als detected ausgewiesen werden, muss man sich diese im Einzelfall anschauen.
Wie werde ich Pegasus wieder los?
Nun, das ist nicht so einfach.
Die bis dato einzige, halbwegs sichere Methode ist, dass Handy komplett neu aufzusetzen (löschen, zurücksetzen und iOS frisch installieren/Update einspielen; bloß kein Backup einspielen, sonst spielt man damit womöglich auch Pegasus wieder auf) und sicherheitshalber eine neue SIM-Karte mit neuer Rufnummer zu verwenden.
Dann hat man garantiert ein Pegasus-freies Handy. Allerdings nur so lange, bis Pegasus wieder unbemerkt aufgespielt wird. Sollte man also eine Zielperson sein, so ist das nur eine Frage der Zeit, bis Pegasus einfach erneut installiert wird und alles von vorne losgeht. Eine 100%ige Sicherheit gibt es also leider nicht.
Wie so oft im Leben.