Auch aktuelle iPhones kann Pegasus offenbar ausspionieren.

Von Spionagesoftware wie Pegasus hatten bisher nur Spezialisten gehört. Besucht man aber diese Tage einen Familiengeburtstag kann es passieren, dass sich dort Gäste über abgehörte iPhones unterhalten. Ein sicheres Zeichen, dass für Apple etwas richtig schiefgelaufen ist. Das Erschreckende der Enthüllungen zu Pegasus ist schließlich das Ausmaß der Überwachung: Offensichtlich sind es nicht einzelne Regimegegner und lästige Milliardäre wie Bezos, die vom Pegasus-Entwickler NSO überwacht werden. Auch die Smartphones von Managern, Regierungschefs wie Macron und Journalisten von Tageszeitungen werden anscheinend zu tausenden ausgespäht.

Besonders peinlich für Apple: Vor allem auf den als besonders sicher geltende iPhones wurden Spuren der Überwachungssoftware gefunden. So beschreibt die " Washington Post ", wie das iPhone 11 der Frau eines marokkanischen Dissidenten durch das Zusenden einer iMessage-Nachricht gehackt wurde – eine sogenannte Zero-Click-Attacke, die während ihres Aufenthaltes in Frankreich stattfand. Auch aktuelle Systemversionen sind kein Schutz, es gibt Berichte über Hacks aktueller iPhones mit iOS 14.6.

Geniale Hacker oder zu sorgloses Apple?

Bisher galten Apples Smartphones als besonders sicher vor Hackern und Geheimdiensten, selbst Anwälte und Journalisten vertrauten aber wohl zu blauäugig auf Apple Versprechen, niemand könne auf die Daten seines aktuellen iPhones zugreifen. Die Frage ist aber weniger, wie das passieren konnte. Die Frage ist nach Meinung des Autors vielmehr, ob man Apple etwas vorwerfen kann? Ist Apple eher als Opfer genialer Hacker zu sehen, oder muss man Cupertino eine Mischung aus falschen Werbeversprechen, Fahrlässigkeit und Geiz vorwerfen?

Es gab schon erste Reaktionen von Apple: Cupertino bestreitet, die Gefährdung betreffe viele Anwender. Dazu seien die Angriffe zu raffiniert, so der von der "Washington Post" befragte Ivan Krstić, Chef der Abteilung Security Engineering und Architecture. Die berichteten Angriffsmethoden hätten nur eine sehr kurze Lebensdauer und es koste Millionen, sie zu entwickeln. Folglich wären es nur einzelne Personen, die auf diese Art angegriffen würden und von dieser Art von Angriffen ginge für die überwiegende Zahl der Nutzer keine Gefahr aus.

Das ist nicht ganz falsch: Die an die Medien übermittelte Datenbank mit 50 000 Telefonnummern lässt keine sicheren Rückschlüsse auf die Zahl der überwachten Personen zu – üblicherweise sollen die etwa 60 Kunden von NSO knapp hundert Personen pro Jahr überwachen lassen. Für die Verlobte von Jamal Kashoggi ist dies aber wohl kein Trost, wurde ihr iPhone doch schon vier Tage nach der Ermordung des Dissidenten gleich mehrmals gehackt und sie stellte sich wie wohl viele iPhone-Nutzer die Frage: “Why did they say the iPhone is more safe?”

Schließlich hat Apple immer wieder hohe Datensicherheit versprochen und mancher fragt sich, ob dies leere Versprechungen sind.

Probleme mit iMessage

Es sind keine Drittprogramme, über die Pegasus auf iPhones zugreift. Angegriffen werden die Opfer oft über Apple-Apps wie Nachrichten (iMessage), Apple Music, Fotos, Facetime und Safari. Wie die Untersuchungen von Amnesty Security Lab zeigten, ist es dabei immer wieder iMessage, das die  von den Hackern genutzte Schwachstellen liefert. Laut Experten hat Apple nämlich große Probleme, iMessage von Schwachstellen zu befreien. Ein Grund scheint zu sein, dass die Nachrichten-App mit immer neuen Funktionen versehen wird, die immer neue potenzielle Angriffspunkte liefern – jede neue Funktion wie Memoji und Sticker macht die App attraktiver aber auch anfälliger für Hacker. Es sind auch Komfortfunktionen, die für Angriffsflächen sorgen: Etwa die Möglichkeit, dass Fremde eine Nachricht zustellen können.

Das Problem ist Apple nicht unbekannt, so verwies Apple auf neue Sicherheitsfunktionen wie BlastDoor. Diese Funktion prüft Bilddateien und Webvorschauen automatisch und soll so gegen Malware schützen – allerdings nur, wenn diese auf diese Methode setzen. Einige Sicherheitsexperten empfehlen deshalb sogar, iMessage zu deaktivieren.

Umgang mit Schwachstellen

Auch beim Umgang mit Schwachstellen besteht offensichtlich Verbesserungsbedarf. Es gibt zwar seit Kurzem ein sogenanntes Bug-Bounty-Programm, bei dem Apple Prämien für die Meldung von Systemschwächen zahlt. Leider scheint Apple bei Auszahlungen recht knauserig und zögerlich zu sein. So fühlte sich etwa der Entwickler Nicolas Brunner schlicht betrogen , als er Apple einen Fehler meldete und sich der Vorgang nicht nur über 14 Monate hinzog, sondern er schlussendlich einfach ignoriert wurde. Dabei zahlen Firmen, mit denen NSO zusammenarbeitet hohe Belohnungen für iOS-Schwachstellen. Offensichtlich steht sich Apple hier aber oft selbst im Weg: So soll etwa Apples Marketing-Abteilung hohe Sicherheitsstandards behindern. Laut einem ehemaligen Apple-Mitarbeiter hätte diese etwa bei der Kommunikation mit externen Sicherheitsfachleuten auf bestimmte vorgegebene Nachrichten bestanden.

Apple ist natürlich nicht der einzige Smartphone-Hersteller, der angegriffen wird. Auch Android-Smartphones blieben von Pegasus nicht verschont und Spuren von Attacken wurden festgestellt. Was bei Android besonders negativ auffällt: Aus technischen Gründen sind Spuren von Pegasus für Sicherheitsforscher besonders schwerer zu identifizieren. Vermutlich ist das der wahre Grund, dass man Spuren von Pegasus vor allem auf iPhones fand.

Was kann aber Apple tun? Apple war bei iMessage offenbar recht fahrlässig und steht nun in der Pflicht, seine Chat-App zu einer sicheren Kommunikations-App zu machen. Auch das Verhältnis zu Sicherheitsforschern ließe sich wohl ohne hohen finanziellen Aufwand verbessern – mit etwas mehr Kulanz bei entdeckten Schwachstellen. Eine andere Frage wäre, ob es sich lohnen würde, eine aktiv nach Schwachstellen suchende Organisation wie Googles Threat Analysis Group aufzubauen. Mit einer solchen Organisation könnte Apple nicht nur für mehr Sicherheit sorgen, sondern auch sein Image verbessern. Allerdings würde hier wohl Apples Marketing-Abteilung sofort ein Veto einlegen.