Menü

Spyware für iOS und Android: Pegasus soll Daten aus Cloud-Services stehlen können

Die Smartphone-Spionage-Software der NSO Group kann jetzt angeblich Daten aus iCloud, Facebook Messenger und Co. kopieren. Technische Details sind bislang rar.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 39 Beiträge

(Bild: Shutterstock / Motortion Films )

Von

Die Smartphone-Spyware Pegasus der Cybersecurity-Firma NSO Group soll nun auch nutzerspezifische Daten von den Cloud-Servern von Amazon, Apple, Facebook, Google und Microsoft abgreifen können. Das berichtet die Financial Times (FT) unter Berufung auf ihr vorliegende Dokumente, die potenzielle Schadcode-Käufer auf einer Verkaufsveranstaltung erhalten haben sollen.

Die israelische NSO Group, deren Spionage-Software-Angebot sich an Regierungen richtet, geriet in der Vergangenheit bereits mehrfach in die Schlagzeilen. Ihre Spyware Pegasus soll von staatlichen Stellen eingesetzt worden sein, um etwa Mitarbeiter von Menschenrechtsorganisationen, politische Aktivisten und andere potenzielle Gegner zu bespitzeln. Die NSO Group weist ihrerseits jede Mitverantwortung für "Fehltritte" ihrer Kunden zurück.

Sicherheitsforscher entdeckten die iOS-Variante von Pegasus erstmals Ende 2016 in freier Wildbahn; im April 2017 gesellte sich die Android-Version dazu. Einmal auf einem Gerät installiert, kann die Spyware (teils unter Ausnutzung von Sicherheitslücken) unter anderem Messenger-Nachrichten und E-Mails mitlesen, Zugangsdaten stehlen, Anrufe mitschneiden, Tonaufnahmen anfertigen und GPS-Positionsdaten ermitteln.

Vertrauliche Daten stahl Pegasus bislang "nur" von infiltrierten Smartphones. Laut aktueller Werbeversprechen der NSO Group ist die Spyware nun jedoch in der Lage, auf dem Gerät gespeicherte "Authentifizerungsschlüssel" von Services wie Facebook Messsenger und iCloud zu klonen.

Separate Server der Sicherheitsfirma können sich demnach mittels dieser geklonten Schlüssel als das betreffende Gerät ausgeben. Dies garantiere "unbegrenzten Zugriff" auf die Daten in der Cloud. Schutzmechanismen wie die von Google eingesetzte Verifizierung in zwei Schritten oder Warn-E-Mails würden dabei umgangen.

Ebenso schwammig wie die Passage mit den Authentifizierungsschlüsseln lesen sich auch die Angaben zu angreifbaren Geräten, die die Financial Times in ihrem Artikel wiedergibt: Die neue Pegasus-Funktion funktioniere nicht nur auf älteren, sondern auch auf "vielen der neuesten" iPhone- und Android-Geräten.

Interessanterweise verraten die NSO-Werbedokumente laut FT auch, dass die von Pegasus geklonten Authentifizierungsschlüssel mit jedem Passwortwechsel für die Cloud-Dienste ihre Gültigkeit verlieren. Sofern es der Spyware anschließend nicht gelingt, den neuen Schlüssel zu erbeuten, könnte diese Maßnahme also zumindest ein wenig Schutz bieten.

Nach Angaben der Financial Times haben Sicherheitsteams von Amazon, Apple, Facebook, Google und Microsoft als Reaktion auf die Dokumente damit begonnen, nach potenziellen Schwachstellen in ihren Authentifizierungsmechanismen zu suchen.

Sprecher von Amazon und Google sagten gegenüber der FT, die Unternehmen hätten bislang keine Hinweise darauf entdeckt, dass Benutzerkonten durch die Pegasus-Spyware kompromittiert worden seien. Sie bekräftigten – ebenso wie auch Facebook – allerdings, dass man die Untersuchungen fortführen werde.

Apple reagierte laut Financial Times ungläubig auf die Werbeversprechen der NSO Group. Sicherlich gäbe es einige teure Tools, mit denen sich gezielte Angriffe auf einzelne Geräte ausführen ließen. Man glaube jedoch nicht, dass diese für großflächige Angriffe auf Apple-Kunden beziehungsweise das (laut dem Apple-Sprecher) extrem sichere iOs eingesetzt werden könnten. Microsoft äußert sich in ähnlicher Weise und riet Nutzern zusätzlich dazu, achtsam mit ihren Geräten umzugehen und diese "gesund" zu halten.

Die NSO Group selbst will von den im FT-Artikel beschriebenen Werbeversprechen nichts wissen. Auf Anfrage der FT ließ sie verlauten, dass das Unternehmen keinerlei Hacking- oder Daten-Sammel-Tools für Cloud-Anwendungen, - Services oder -Infrastrukturen bereitstelle oder vermarkte.

Mehr zum Thema Pegasus:

(ovw)