Seit Jahren schon schlägt die Spyware Pegasus der israelischen NSO Group hohe Wellen. Zuletzt rückte der komplexe Trojaner in den Fokus der Öffentlichkeit, nachdem eine Liste mit 50.000 Telefonnummern aus etwa 50 Ländern auftauchte. Die Nutzer:innen dieser Nummern gelten als potenzielle Ziele des Programms. Auch iPhones sind von dem Risiko einer Infektion nicht ausgenommen. Nun aber haben Experten die Software auch auf einem iPhone 12 Pro Max ausfindig machen können.
iPhone-Sicherheit auf dem Prüfstand
Insgesamt habe das internationale Team aus Journalist:innen sowie den Organisationen Forbidden Stories und Amnesty International neun Pegasus-Ziele identifiziert. Bei ihnen handelt es sich um bahrainische Aktivist:innen, deren iPhones zwischen Juni 2020 und Februar 2021 mit der Software infiziert worden sind.
Aktivist:innen mit Zero-Click-Angriff ausgespäht
Die Besonderheit: Pegasus wurde in Form eines Zero-Click-Angriffs eingesetzt. Das bedeutet, dass das Programm ohne Zutun der Nutzer:innen auf die iPhones gelangte. Konkret machten sich die Akteur:innen dabei offenbar zwei iMessage-Lücken der iPhone-Sicherheit zunutze. Zum einen den 2020er KISMET-Exploit und zum anderen den bislang unbekannten FORRCEDENTRY-Exploit von 2021.
„Activist D, ein Mitglied des Bahrain Center for Human Rights, wurde im März 2019 zusätzlich mit einer Pegasus-SMS-Nachricht von ‚BatelcoEsvc‘ ins Visier genommen“, schreibt das Team des Citizen Lab. „Activist D erörterte den Vorfall aus dem Jahr 2019 in einem Interview aus dem Jahr 2020, in dem Activist D zusammen mit einem der Autoren dieses Berichts befragt wurde.“
LULU, ein Pegasus-Betreiber, den das Team mit großer Sicherheit der Regierung von Bahrain zuschreiben, habe Activist D mittels Pegasus unter Verwendung des KISMET-Zero-Click-Exploits gehackt – etwa sechs Stunden nach der ersten Ausstrahlung des Interviews. Dieser Fall verdeutliche die Risiken, die mit dem Bekanntwerden von Hacking-Fällen verbunden sind.
Nur Bahrain betroffen?
Bisher hatte das Citizen Lab beobachten können, dass die bahrainische Regierung mittels Pegasus bislang ausschließlich innerhalb von Bahrain spionierte, nie in Europa. Die aktuellen Fälle lassen daran aber starke Zweifel aufkommen. So befand sich mindestens eine:r der betroffenen Aktivist:innen zum Zeitpunkt der Attacke in London.
Unklar bleibt allerdings, inwiefern andere Akteur:innen die Spyware nutzen, um auch über ihre Ländergrenzen hinaus zu agieren. Im März erst hatten sich diverse Opfer des Staatstrojaners Pegasus zu Wort gemeldet. Unter ihnen waren Aktivist:innen, Journalist:innen, Politiker:innen und sogar Anwältinnen und Anwälte. Du selbst kannst mit Hilfe des Mobile Verification Toolkit (MVT) überprüfen, ob Pegasus auch dein Smartphone befallen hat.
Quelle: Citizen Lab