Sicherheitsverbesserungen stehen immer mehr im Fokus der Werbebotschaft, wenn es darum geht, neue Smartphones oder mobile Betriebssysteme vorzustellen. Insbesondere Apple ist nicht gerade schüchtern dahingehend, neue Security-Features für iOS oder Hardware-Neuerungen wie den "Secure Enclave"-Chip vorzustellen.

Doch die Enthüllungen rund um den massenhaften Einsatz der Spähsoftware Pegasus der israelischen NSO Group zeigen auch dem Techgiganten, dessen Marktwert mittlerweile auf 2,4 Billionen Dollar geschätzt wird, seine Grenzen auf. Viele kompromittierten Smartphones sind iPhones, darunter auch aktuelle Modelle.

Auch aktuelle iPhones infiziert

Das Security Lab der Menschenrechts-NGO Amnesty International hat 67 Smartphones möglicher Überwachungsopfer forensisch geprüft und ist bei 37 fündig geworden. 34 davon waren iPhones. Bei elf der Geräte war eine Infektion versucht worden, gelang aber nicht. Bei 23 konnte Pegasus erfolgreich eingeschleust werden. Darunter befand sich auch ein iPhone 12 – also das neueste Modell – mit allen bis dahin verfügbaren iOS-Updates. Von insgesamt 15 Android-Handys im Bestand zeigten drei Spuren eines Infektionsversuchs. Hier weisen die Sicherheitsforscher aber einschränkend darauf hin, dass die Logs des Betriebssystems nicht umfassend genug seien, um "schlüssige Resultate" zu erhalten.

Das Citizen Lab der University of Toronto stellte der Untersuchungsmethodik von Amnesty ein gutes Zeugnis aus und betonte, auch selbst in früheren Analysen aktuelle iPhones mit aktiver Pegasus-Infektion entdeckt zu haben.

Apple verteidigte seine Gerätesicherheit gegenüber der "Washington Post". Man verurteile die Cyberattacken gegen Journalisten, Menschenrechtler und andere. Hier gehe es aber um Angriffe, deren Entwicklung Millionen koste und die sich gezielt gegen bestimmte Personen richten und oft nur kurze Zeit funktionieren. Das sei aber keine Gefahr für die große Mehrheit der Nutzer. Das iPhone sei weiterhin das sicherste Endkunden-Smartphone am Markt. Und man werde weiterhin "unermüdlich dafür kämpfen", die eigenen Kunden zu verteidigen und neue Security-Verbesserungen zu entwickeln.

Kein Schutz vor "Zero Days"

Dem steht einerseits die Meinung von Edward Snowden entgegen, der davon ausgeht, dass jemand, der einen Weg gefunden hat, ein aktuelles iPhone zu kompromittieren, dies bei allen iPhones umsetzen kann. Und andererseits sind "Zero Days" ein Risiko, das auch ein schwerreicher Konzern wie Apple nicht vollständig ausmerzen kann.

Unter diesem Begriff versteht man Sicherheitslücken, die dem Hersteller des jeweiligen Geräts oder der Software selbst nicht bekannt sind. Bösartige Hacker suchen gezielt nach solchen Schwachstellen, um sie dann an den Höchstbieter zu verkaufen. Bei Geheimdiensten oder eben Firmen wie der NSO Group steht diese "Ware" hoch im Kurs.

Die Hersteller können begrenzt dagegenhalten, indem sie etwa mehr Ressourcen in den Sicherheitscheck ihrer Software und Dienste stecken. Aufgrund der stetig steigenden Komplexität der Programme und der schieren Unmöglichkeit, alle denkbaren Schlupflöcher durchzuprobieren, werden aber auch in Zukunft immer wieder "Hintertüren" gefunden werden.

Viele Techkonzerne bieten auch ein sogenanntes "Bug Bounty"-Programm an, schreiben also monetäre Belohnungen für die Übermittlung bisher unbekannter Fehler und Lücken aus. Hacker mit guten Intentionen und Sicherheitsforscher machen davon auch Gebrauch. Allerdings ist der Verkauf per Meistbieterprinzip an Dritte gerade bei schweren Lücken in der Regel der viel lukrativere Weg.

Wettlauf

Auch die Entdeckungen im Rahmen der Pegasus-Affäre werden zur Schließung bislang unentdeckter Sicherheitslücken und weiteren Security-Nachbesserungen führen. Und im vergangenen Jahr wurde stillschweigend ein neuer Mechanismus namens "Blastdoor" eingeführt, um die Auslieferung von Malware über "unsichtbare" iMessages zu verhindern, nachdem eine entsprechende Lücke für Pegasus-Angriffe genutzt worden war.

Seitens Google, dem Entwickler des Android-Betriebssystems, erklärt man, monatlich rund 4.000 Warnungen an Nutzer wegen versuchter Digitaleinbrüche auf ihre Konten oder Geräte zu verschicken – auch wenn es sich um staatliche Angriffe handelt. Dass das Betriebssystem nur limitierte Logs anlege, wie von Amnesty bemängelt, sei eine Sicherheitsentscheidung. Mehr forensische Informationen können auch Angreifern helfen.

NSO verspricht Untersuchung

Shalev Hulio, CEO der NSO Group, erklärte gegenüber der "Washington Post", dass ihn die Enthüllungen der Überwachung von Menschenrechtlern, Journalisten und Politikern aufgewühlt hätten. Die Anschuldigungen gegen sein Unternehmen wies er zwar zurück, versprach aber eine Untersuchung, weil hier "das Vertrauen missbraucht wurde, das wir den Kunden entgegenbringen".

Für Edward Snowden dürfte das wohl nicht genug sein. Er sieht NSO als Teil eines Industriezweigs, "der gar nicht existieren sollte". Der NSA-Whistleblower fordert ein weltweites Verbot des kommerziellen Handels von Cyberwaffen dieser Art. Amazon hat dem Unternehmen als Reaktion auf die Aufdeckungen einen Teil seiner Cloud-Infrastruktur abgedreht.

Pegasus-Check-Tool

Während man sich als Nutzer de facto nicht gegen Angriffe mit hochentwickelten Werkzeugen wie Pegasus schützen kann – es sei denn, man verzichtet auf internetbasierte Kommunikation –, kann man zumindest überprüfen, ob man selbst angegriffen wurde.

Amnesty International hat dazu ein quelloffenes "Mobile Verification Toolkit" entwickelt, das iPhone- und Android-Backups scannt. Die Verwendung ist allerdings etwas kompliziert. Eine Anleitung findet sich auf der Website des Projekts. (gpi, 20.7.2021)