Was für ein Schlag für das „sichere“ Image des Apfels: Die bisher unbekannte Spionagesoftware „Pegasus“ zeigt eine der größten Sicherheitslücken der Firmengeschichte. Gleich drei Schwachstellen in der Mobilsoftware iOS soll „Pegasus“ ausnutzen, um tiefen Einblick in die Apple-Geräte zu bekommen. Laut der IT-Sicherheitsfirma Lookout konnte das Programm so unter anderem E-Mails und andere Nachrichten lesen, Anrufe verfolgen, Gespräche mitschneiden, Passwörter abgreifen oder auch den Standort des User bestimmen.
Einen ersten Verdacht, dass etwas mit seinen Geräten nicht stimmen könnte, soll ein Menschenrechtler aus den Vereinigten Arabischen Emiraten gehabt haben. Eine Nachricht mit einem Link über Folter sei Ahmed Mansur seltsam genug vorgekommen, um Sicherheitsexperten einzuschalten. Sie identifizierten ein Programm, das man so bisher noch nicht entdeckt hatte: Die Fähigkeiten, auf vielen verschiedenen Levels Apple-Geräte zu überwachen ist bisher einzigartig bei „Pegasus“. Dies sei „die ausgeklügeltste Attacke, die wir je auf einem Endgerät gesehen habe“, erklärt Lookout auf dem Firmenblog.
Das Programm profitiere davon, dass iPhones in den Alltag integriert seien. Die Spionage-Software sei modular aufgebaut, eine Verschlüsselung helfe dabei, um nicht entdeckt zu werden. Gemeinsam mit dem kanadischen Institut Citizen Lab und Apple versuchte Lookout, die Lücken möglichst schnell zu stopfen: Nach nur zwei Wochen stand das 9.3.5.Update zum Download bereit. Lookout arbeitet aktuell an einer App, mit der iPhone-Nutzer prüfen können, ob auch ihr Gerät von „Pegasus“ befallen ist.
Als Urheberfirma für „Pegasus“ identifizierte Lookout die israelische NSO-Group. Ein Sprecher des Unternehmens, das sich auf Hacking-Tools für Regierungen und Gehemindienste spezialisiert hat, erklärte in einer E-Mail an die New York Times, dass NSO nur an authorisierte Regierungen verkaufe und man sich streng an Ausfuhrbestimungen halte. Mehr wollte er nicht sagen. Neben Ahmed Mansur soll mit „Pegasus“ auch ein mexikanischer Journalist sowie eine nicht näher definierte Person in Kenia ausgespäht worden sein.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++