Wie „Pegasus“ iPhones knackte

Berlin (dpa) − Mit „Pegasus“ ist eine Software, die sich beispiellosen Zugriff auf iPhones verschaffen konnte, entdeckt und analysiert worden. Das Spionage-Programm griff nach Erkenntnissen der IT-Sicherheitsfirma Lookout und des kanadischen Citizen Lab nacheinander drei bisher unbekannte Software-Schwachstellen an.

- Schritt eins: Über eine Sicherheitslücke in Apples Web-Browser Safari konnte beliebiger Software-Code ausgeführt werden. Die Angreifer nutzten dies aus, um die Angriffs-Elemente von „Pegasus“ auf das Gerät zu laden. Um das auszulösen, genügte es, dass der iPhone-Besitzer einen präparierten Link anklickte. Das einzige ungewöhnliche Verhalten für ihn war, dass sich die Safari-App unerwartet schloss.

- Schritt zwei: Die inzwischen auf dem Gerät aktive „Pegasus“-Software spürte dank der zweiten Sicherheitslücke das von Apple eigentlich versteckte Herzstück des iPhone-Betriebssystems iOS, den sogenannten Kernel auf. Er ist ein Schlüsselelement für die Sicherheit der Geräte. Deshalb wird der Kernel nach dem Zufallsprinzip an verschiedenen Speicherorten platziert, die bei einem Abruf verschleiert werden. Die Entwickler von „Pegasus“ fanden aber einen Weg, an die tatsächlichen Speicheradressen zu kommen.

- Schritt drei: Über eine Schwachstelle im Kernel selbst sicherte sich „Pegasus“ weitreichenden Zugriff auf das iPhone. Das Spionage-Programm führte heimlich einen sogenannten „Jailbreak“ durch − so wird der Prozess bezeichnet, bei dem ein iPhone von den von Apple vorgesehenen Einschränkungen befreit wird. Einige Nutzer machen das selbst, um mehr Software installieren und das Gerät freier konfigurieren zu können. Damit fallen aber auch die Hürden für Attacken. So auch hier: Nach dem unerkannten „Jailbreak“ konnte „Pegasus“ Überwachungs-Software hinzufügen. Diese bestand aus vielen einzelnen Modulen, die verschiedene Dienste angriffen.

Zum Verhängnis wurde „Pegasus“ die Wachsamkeit des Menschenrechtlers Ahmed Mansoor aus den Vereinigten Arabischen Emiraten. Er misstraute der Nachricht mit einem präparierten Link. Die von ihm alarmierten Sicherheitsexperten analysierten den Link und lösten den weiteren Ablauf von „Pegasus“ in einer von ihnen kontrollierten Umgebung aus, erklärte Lookout-Forscher Max Bazaliy.