26. August 2016

Robert Tusch

iOS 9.3.5: Die Spionage-Software, von der niemand wusste

Mit iOS 9.3.5 hat Apple offenbar eine Abhörsoftware unschädlich gemacht, von der die Medienwelt erst jetzt erfährt. Ein israelisches Unternehmen hat sie für Regierungen entwickelt, die sie offenbar auch nutzten.

DSC_7547

Alles fing mit einer Nachricht an. Ahmed Mansoor ist 46 Jahre alt und Menschenrechtler aus den Vereinigten Arabischen Emiraten. Hacker- und Spähangriffe vom Staat ist Mansoor gewohnt. Schon einmal musste er mit dem völligen Kontrollverlust über seine Endgeräte leben. Seither ist er skeptisch, was unbekannte Nachrichten und Links angeht. Das hat ihn vor einem erneuten Lauschangriff gerettet.

Am Morgen des 10. August erhielt Mansoor eine Nachricht von einer Nummer, die er bis dato nicht kannte. Enthalten ist ein angeblicher Link über Folter von Häftlingen in dem Land. Doch statt den Link anzuklicken, blieb der Menschenrechtler skeptisch, holte sich Hilfe von Sicherheitsforschern. Die entdeckten schließlich die dahinter verborgene Spähsoftware auf dem iPhone, die sie „Pegasus“ nannten und die nun mit iOS 9.3.5 von Apple unschädlich gemacht wurde.

Bildschirmfoto 2016-08-26 um 08.55.33

Drei Schwachstellen in iOS

Erst vor 10 Tagen hat Cupertino selbst von der Möglichkeit erfahren, auf dem iPhone solche Lauschangriffe derart einfach durchzuführen. Schon seit iOS 7 sei das der Fall, wie sich nun herausstellt. Die Spähsoftware nutzte drei Schwachstellen im iOS-Betriebssystem. Dadurch konnte sie unter anderem Nachrichten und E-Mails mitlesen, Anrufe verfolgen, Passwörter abfragen, Tonaufnahmen machen und den Aufenthaltsort des Nutzers verfolgen.

Erstellt hat sie das israelische Unternehmen NSO. Offenbar war der Angriff so gut gemacht, dass er sich kaum zu erkennen ließ. So nutzte die Spähsoftware teilweise sogar die Verschlüsselung, um nicht aufzufliegen. Ein Sprecher des Unternehmens sagte der New York Times, dass man die Software an Regierungen weiterverkaufe. Wie diese sie nutzen, wisse man nicht.

Doch offenbar richteten sich die Spähangriffe vor allem gegen Menschenrechtler wie Mansoor. Experten zufolge sei auch ein mexikanischer Journalist unter den Opfern, ebenso wie eine Person in Kenia, die nicht näher benannt wurde.

DSC_7560

Kratzer an Apples Image

Die Spähsoftware jedenfalls ist ein Schlag in die Marketing-Maschenerie von Apple. War man doch bislang so fest davon überzeugt, dass so etwas auf iOS nur sehr schwer bis gar nicht zu verwirklichen ist. Dass „Pegasus“ aber gleich drei solcher „Zero-Day“-Sicherheitslücken, also Fehler, von denen Apple nichts weiß, ausnutzte, ist daher mehr als schmerzlich.

Apples schnelle Reaktion jedoch ist bemerkenswert. Der Konzern brauchte nur zehn Tage bis die Lücke in iOS 9 mit dem gestrigen Update geschlossen wurde. iOS 10 enthält die Fehler seit der vorgezogenen letzten Beta wohl ebenfalls nicht mehr. Was bleibt ist der bittere Beigeschmack und die unabdingbare Frage: Warum wusste niemand davon?

Weitere Artikel

Neue WhatsApp-Bedingungen: So ist der Widerspruch möglich

Dropbox setzt vier Jahre alte Passwörter zurück

38 Gedanken zu „iOS 9.3.5: Die Spionage-Software, von der niemand wusste“

  2. Wenn Apple es erst vor 10 Tagen wusste und direkt mit der Anpassung des Systems begonnen hat, dann möchte ich bei anderen Handy Betriebssystemen gar nicht wissen wie lange bei denen diese Möglichkeiten offen bleiben. Die Situation wird ja durch seltenere Updateintervalle noch verschlimmert.
    • Vielleicht gibt es ja bei den anderen Betriebssystemen diese Lücken nicht. Schließlich ist es ein anderes Betriebssystem. Mal darüber nachgedacht?
  3. Dies zeigt wiederum, dass auch ein abgeschottetes System wie iOS vor solchen Angriffen bzw Sicherheitslücken unzureichend geschützt ist
    • „unzureichend“ ist hier definitiv das falsche Wort. Hierbei handelt es sich um Bugs die ausgenutzt wurde, nicht um fehlende Sicherheitsmechanismen. Kein System ist wirklich sicher, das ganze ist ein stetiges Wettrennen. Das traurige an der Sache ist nur, dass zur Zeit Apple der einzige Hersteller ist, der die Sache ernst nimmt und Updates an nahezu alle Nutzer verteilt. Im anderen Lager hat man da eigentlich keine Chance, da dort zu viele ein Interesse daran haben, dass man sich ein neues Gerät kauft.
    • Kein System ist komplett sicher. Wie man sieht, auch iOS nicht. Ein komplett sicheres system zu schreiben, ist schlichtweg unmöglich. Allerdings ist es, wie im Artikel erwähnt, bemerkenswert, dass Apple so schnell reagiert.
  5. So wird iOS von Tag zu tag sicherer. Aber Lücken wird es immer in jeden System geben. Da kann auch Apple nichts daran machen.
  6. …versteh ich das richtig, dass sich diese Software erst installiert wenn man auf den Link klickt? Gibt’s nicht noch sowas wie gesunden Menschenverstand? Ich klicke jedenfalls nie auf den Link, wenn der Absender eine fremde Nummer ist o.ä.!
  7. Die Frage die ich mir stelle ist, warum konnten die Lücken so schnell geschlossen werden? Sonst dauert es Wochen bis ein Patch kommt.
    • Vielleicht waren die Lücken ja sehr gut von den Sicherheits vor schon gegenüber eben geschrieben worden, so dass sie den fehlerhaften Kot schnell finden konnten. Oder ich waren einfach sehr trivial Fehler die man schnell fand. Eines ist jedenfalls gewiss, die Software Qualität bei Apple ist schlecht.
  8. Kein Hersteller kann ein lückenloses System bieten. Aber Apple reagiert immer schnell um solche Lücken zu schließen.
  9. Mann darf aber auch nicht vergessen. Wir wissentlicher wie ein Betriebssystem Hersteller drauf ist. Ob die uns auch nicht ausspionieren oder Garden Zugriff von Regierungen zulassen. Ok von android ist man es gewohnt unsicher zu sein. Ich persönlich traue Apple windows usw nicht wirklich aber ich habe auch nichts zu verbergen und von daher kann ich damit leben. Aber mal davon abgesehen finde ich die Reaktion auf die softwareprobleme von Apple und Windows super.
  10. Und genau das ist der Grund warum ich bei Apple bleibe und seit 1994 dabei bin. Die Update Politik ist absolut hervorragend da gibt es nichts dran auszusetzen. Das hat nichts mit Fan boy zu tun sondern mit Tatsachen. Damit ist die Frage auch beantwortet was sich viele User hier immer wieder aufs Neue wünschen das es ein fehlerfreies Update beziehungsweise Betriebssystem gibt und genau das gibt es eben nicht was ich schon X mal und auch andere erwähnt haben. Bugs, wird es immer geben sei es im kommenden neuen iOS 10 oder auch Mac OS. Und bitte nicht wieder diese schwachsinnige Antwort wie ich habe nichts zu verbergen. Wenn es nicht der Fall wäre, würded ich euch auch darüber nicht aufregen.
  12. Apples schnelles Eingreifen ist vorbildlich! Unfassbar, wie dumm manche Menschen sind und solche Links ernsthaft anklicken.
  14. Was ich nicht verstehe, er hat den Link NICHT angeklickt, aber die Sicherheitsforscher konnten auf seinem iPhone die Schadsoftware entdecken? Wie das denn, wenn er den Link nicht angeklickt hat?
    • Genau genommen gibt es kein Update für die iPhone 5-Serie. Es gibt auch kein Update für das iPhone 6s. Es gibt ein Update für iOS 9! Ausgehend von der Tatsache dass man auch beim iPhone 5 in den Einstellungen manuell die Softwareaktualisierung anschieben kann, sollte man als erstes vielleicht mal dort nachschauen, wenn solche Meldungen wie hier über ein Update öffentlich mitgeteilt werden. Auch ein iPhone 5 zeigt an, ob das iOS auf dem neuesten Stand ist. Vielleicht ist es ja auch schon automatisch aktualisiert…
    • Hast du gelesen aus welchen Land dieses Unternehmen ist ? Haha was los wäre wenn Deutschland dieses „Land“ vor Gericht ziehen würde.
  19. So mal zum sicheren Handy. Wie hier einige schon geschrieben haben gibt es das nicht. Wollen wir allerdings in die Nähe würde es BT und Wlan auf diesem Handy schon mal nicht geben. Ferner gäbe es nur Apps die nicht mit der Außenwelt kommuniziren, also Threema und Wattsapp gäbe es nicht. Safari ginge nur über einen Sicherheitsserver der die Seiten vorher scant. Jede Telefonverbindung würde mindestens 3 Sicherheitsabfragen hervorrufen bis eine gesicherte Verbindung aufgebaut wäre. Erst mit diesen Maßnahmen wäre Apple oder Google in der Lage eine 99,5% sichere Software zu Programmieren. Wollen wir das. Selbst Andres Merkels Handy ist nicht so sicher sie kann immer Mails und Internet benutzen. Es gibt solche Phones aber für Normalverbraucher ist sowas ein Aültraum. Apple macht hier schon eine sehr sehr gute Arbeit . Google hat hier leider viel größere Probleme was aber nicht an Android allein liegt.
  20. Alles was man verschlüsseln kann, kann man auch entschlüsseln. Egal wie sicher ein System ist, es wird immer Schwachstellen haben. Leider…

Die Kommentare sind geschlossen.