Tausende Menschen – darunter auch Staatschefs, Oppositionspolitiker und Menschenrechtsaktivisten – wurden weltweit mit der Spähsoftware Pegasus abgehört. Der breitflächige Einsatz des Programms sorgt mittlerweile auch für diplomatische Verwerfungen, während immer mehr Fälle bekannt werden. NSA-Whistleblower Edward Snowden ging scharf mit dem Hersteller, der israelischen NSO Group, ins Gericht und fordert ein Verbot des Verkaufs von Cyberwaffen. Amazon drehte NSO einen Teil ihrer Cloud-Infrastruktur ab.

Zu den Aufdeckern der Affäre gehört unter anderem die Menschenrechts-NGO Amnesty International. Dort hat man dutzende Smartphones forensisch untersucht, um dem Spionagetool auf die Schliche zu kommen. Die Organisation hat außerdem auch ein Werkzeug veröffentlicht, mit dem – zumindest theoretisch – jeder sein eigenes Smartphone auf Pegasus-Befall prüfen kann.

Dank dem MVT von Amnesty International kann man am Handy nach Pegasus-Spuren suchen – eine benutzerfreundliche Version gibt es bislang aber noch nicht.
Foto: Pixabay/Parker_West & JESHOOTS-com (Bearbeitung: STANDARD)

Spurensuche mit dem Mobile Verification Toolkit

Die Software nennt sich Mobile Verification Toolkit (MVT) und richtet sich an Android-Smartphones und Apples iPhones. Sie erfüllt zwei Aufgaben: Sie checkt installierte Apps und andere Inhalte des Nutzers über ein Back-up selbiger auf Spuren. Als Output generiert sie chronologische Listen geprüfter Elemente und markiert jene, die als verdächtig eingestuft werden.

Die Prüfmethoden unterscheiden sich dabei je nach System. Auf Android lädt die Software am System vorhandene App-Pakete (APK) herunter, um sie mit Listen bekannter Malware abzugleichen. Weiters wird ein vorhandenes Back-up extrahiert und auf verdächtige SMS geprüft. Ein wichtiger Angriffsweg für Pegasus sind SMS-Nachrichten, die für den Nutzer unsichtbar sind, aber das System dazu bringen, die Schadsoftware herunterzuladen. Die beiden Scans werden separat ausgeführt.

Auf iOS wird entweder eine komplette Kopie des Dateisystems oder ein herkömmliches, via iTunes oder Finder angelegtes Back-up geprüft. Erstere Variante ist deutlich umfangreicher und liefert daher auch ein verlässlicheres Ergebnis, setzt jedoch einen "Jailbreak" des iPhones voraus. Darunter versteht man das Umgehen von Sicherheitsbeschränkungen des Systems, um sich selbst darauf volle Rechte zu verschaffen, die dieser Zugriff auf das Dateisystem voraussetzt. Das freilich wirft ganz eigene Sicherheitsimplikationen auf. Zudem kann die Durchführung eines Jailbreaks, sofern für die installierte iOS-Version überhaupt schon eine Möglichkeit gefunden wurde, sehr aufwendig sein und weitere Probleme, etwa bei der Installation von Updates, nach sich ziehen.

Wichtig ist, dass verdächtige Einträge auf eine Pegasus-Infektion hindeuten, aber nicht automatisch eine hundertprozentige Bestätigung bedeuten. Wer anhand der Resultate also vermutet, möglicherweise betroffen zu sein, sollte im nächsten Schritt Kontakt mit Amnesty International oder einem Security-Experten aufnehmen.

Verwendung kaum laienfreundlich

Eine Anleitung für die Installation des Mobile Verification Toolkit hat Amnesty International ebenfalls veröffentlicht. Derzeit kann das Prüfwerkzeug unter Mac OS oder Linux in Betrieb gebracht werden. Die Website führt Schritt für Schritt durch den Prozess, wirklich laienfreundlich ist die Verwendung des MVT allerdings nicht.

Für viele Nutzer ist aktuell daher die beste Option laut "Fossbytes": Abwarten. Denn einerseits wurde Pegasus bislang nicht zur Überwachung der breiten Masse, sondern für gezielte Angriffe auf einzelne Personen genutzt, sodass "Durchschnittsbürger" nicht davon ausgehen müssen, dass ihr Handy von der NSO-Software kompromittiert wurde.

Andererseits ist zu erwarten, dass wohl recht bald erste Entwickler das MVT in eine benutzerfreundliche Oberfläche verpacken, sodass sich das eigene Smartphone bzw. Sicherungen mit wenigen Klicks prüfen lassen. Auf diesem Wege könnten auch Windows-Nutzer bald zu ihrem Glück kommen, ohne sich für die Verwendung des Toolkits einen Mac ausborgen oder eine Linux-Distribution installieren bzw. von einem externen Datenträger starten zu müssen.

Selbstschutz nur eingeschränkt möglich

Eingeschränkt sind die Möglichkeiten allerdings, wenn es darum geht, sich vor Pegasus zu schützen. Denn die NSO Group kauft sogenannte "Zero Days" zu, also Informationen über Schwachstellen in Betriebssystemen und Apps, die dem Hersteller der besagten Software noch gar nicht bekannt sind. Dementsprechend können diese Lecks so lange als Einfallstor genutzt werden, bis sie aufgedeckt und geschlossen werden. Das ist auch einer der wesentlichen Gründe dafür, warum Snowden für ein Cyberwaffen-Moratorium plädiert.

Als Nutzer kann man den bestmöglichen Beitrag zur eigenen Sicherheit leisten, indem man Betriebssysteme und Software auf dem neuesten Stand hält. Dabei ist man aber freilich auch darauf angewiesen, dass die Entwickler von Apps ihre Produkte aktiv pflegen und Smartphone-Hersteller ihre Geräte möglichst lange und regelmäßig mit Sicherheitsupdates versorgen. Letzteres ist gerade am Android-Markt ein wiederkehrendes Problem, denn die Behebung von erkannten Sicherheitslücken bringt wenig, wenn das Update viele Handybesitzer gar nicht erst erreicht. In den letzten Monaten haben aber mehrere Hersteller längere Supportzeiträume versprochen.

Apple liefert recht lange Versions- und Sicherheitsupdates für seine iPhones. Die aktuelle Version des eigenen Mobilbetriebssystems, iOS 14, erschien im vergangenen Herbst mit dem iPhone 12, steht aber auch für Modelle bis zurück zum iPhone 6s zur Verfügung, das 2015 auf den Markt kam. Das sorgt für ein grundsätzlich recht gutes Sicherheitsniveau, aber freilich sind bei Ausnutzung eines Zero Days auch aktuelle iPhones nicht vor Pegasus gefeit. (gpi, 21.7.2021)