2632370

iPhone-Hacks durch Pegasus waren noch viel raffinierter als bisher bekannt

17.12.2021 | 11:50 Uhr | Stephan Wiesend

Eine Analyse durch Googles Sicherheitsteam Projekt Zero zeigt, wie aufwendig die Angriffsmethoden der NSO Group waren bzw. sind.

Hacker-Angriffe sind meist sehr primitiv, auch wenn oft mit einem simplen Skript MillionenschĂ€den angerichtet werden. Anders bei den Profi-Hackern der israelischen NSO Group, die fĂŒr Angriffe auf die iPhones von Journalisten und Politikern berĂŒhmt wurden. Bei ihnen handelte es sich offensichtlich um echte Könner, die einen immensen Aufwand betreiben, wie eine gerade veröffentlichte Analyse von Googles Sicherheitsprojekt Project Zero beschrieb.

So funktionierte der Hack des iPhones

Besonderes Aufsehen erregte die Überwachungssoftware Pegasus , weil die Installation ohne jede Handlung des Nutzers möglich war. Er musste auf keinen dubiosen Link klicken, allein der Empfang einer Nachricht auf dem iPhone genĂŒgte. Möglich war dies grĂ¶ĂŸtenteils durch eine SicherheitslĂŒcke von iMessage. Bei einem der Angriffe nutzte das Team etwa den Umgang mit GIF-Dateien. Die Hacker verschickten ein PDF mit der Endung „gif“, was automatisch die PrĂŒfung durch das System auslöst. FĂŒr diese PrĂŒfung nutzt iMessage die Systembibliothek ImageIO, die einen ungewöhnlichen Angriffspunkt aufwies. Bei der Verarbeitung von PDFs mit dem uralten Bildformat JBIG2 nutzt das System nĂ€mlich Code des Open Sourch-Projektes Xpdf. Auf eine dieser Schwachstellen, einen sogenannten Integer Overflow zielten die Hacker. 

Bis zu diesem Punkt ein eher ĂŒblicher Angriff. In diesem Moment wurde der Angriff aber etwas, das als „ziemlich unglaublich und gleichzeitig ziemlich erschreckend beschreiben wurde“: Wie die Google-Forscher berichten, gelang es bei dieser Attacke unter Ausnutzung einer speziellen Komprimierungsart von JBIG2 Schaltungen mit beliebigen Logikgattern zu emulieren, die auf beliebigen Speicher arbeiten. „Using over 70,000 segment commands defining logical bit operations, they define a small computer architecture with features such as registers and a full 64-bit adder and comparator“. Es gelang also, eine Art virtueller Computer zu erstellen. 

Virtueller Rechner nur aus Schad-Code

Statt ein Skript auszufĂŒhren, wie bei anderen Angriffen ĂŒblich, wurde gleich ein eigenstĂ€ndiger virtueller Rechner in Software erstellt, der Speicher durchsuchen und arithmetische Operationen ausfĂŒhren kann. Das geschah nicht zum Selbstzweck, die FĂ€higkeiten wurden dann in einem zweiten Schritt genutzt, um Apples wichtigste Sicherheitsfunktion auszuhebeln, die sogenannte Sandbox. Wie dies gelang, wollen Googles Forscher aber erst in einem spĂ€teren Blog-Beitrag erlĂ€utern.  Die vollstĂ€ndige ErklĂ€rung ist hier nachzulesen .

Interessant: Apple hat mit 14.8.1 zuerst nur die Zahl der unterstĂŒtzten Formate verringert, dann mit iOS 15.0 die komplette Verarbeitung von GIF-Dateien verĂ€ndert. Diese werden nun nicht mehr mit ImageIO, sondern per BlastDoor verarbeitet.

Die Firma NSO Group soll ĂŒbrigens laut Bloomberg verkauft und umstrukturiert werden. Dabei könnte die Entwicklung von Pegasus eingestellt werden, angeblich will sich NSO auf Cyberabwehr und Drohnentechnologie konzentrieren. Wir befĂŒrchten allerdings, sie wird einfach unter neuen Namen und neuen Eignern weiter aktiv sein.

 

 

Macwelt Marktplatz

2632370