Das israelische Unternehmen NSO Group behauptet, dass sein aktualisiertes, mehrere Millionen Dollar teures Überwachungstool namens Pegasus jetzt auch Daten von Cloud-Diensten wie iCloud, Google Drive und Facebook Messenger von einem infizierten iPhone oder Android-Smartphone extrahieren kann.
Laut einem Paywall-Bericht, der gestern von der Financial Times veröffentlicht wurde, funktioniert die App auf den neuesten iPhone- und Android-Smartphones. Dabei werden Exploits genutzt, um die Arbeit auch dann fortzusetzen, wenn das Tool vom Benutzer entfernt wurde.
Die neue Technik kopiert angeblich die Authentifizierungsschlüssel von Diensten wie Google Drive, Facebook Messenger und iCloud von einem infizierten Telefon, so dass ein separater Server die Identität des Telefons einschließlich seines Standorts annehmen kann. Auf diese Weise wird gemäß einem Verkaufsbeleg ein unbegrenzter Zugriff auf die Cloud-Daten dieser Apps gewährt, ohne dass eine Bestätigung in zwei Schritten oder eine Warnung per E-Mail auf dem Zielgerät erforderlich ist.
Das Stehlen von Authentifizierungstoken ist eine alte Technik, um Zugriff auf das Cloud-Konto einer Person zu erhalten, ohne dass Benutzername, Kennwort oder zweistufige Bestätigungscodes erforderlich sind. Im Gegensatz zu den Verschlüsselungsschlüsseln, die iOS zum Sichern Ihrer lokalen Daten verwendet, werden diese Authentifizierungstoken nicht in Apples Secure Enclave gespeichert, das vom Rest des Systems abgeschirmt ist.
Hier ist die Antwort von Apple:
iOS ist die sicherste und sicherste Computerplattform der Welt. Zwar gibt es möglicherweise einige teure Tools, um gezielte Angriffe auf eine sehr kleine Anzahl von Geräten auszuführen, wir glauben jedoch nicht, dass diese Tools für weit verbreitete Angriffe auf Verbraucher nützlich sind.
Seltsamerweise bestreitet Apple nicht, dass eine solche Fähigkeit existieren könnte. Der Technologieriese fügte hinzu, dass er sein mobiles Betriebssystem und die Sicherheitseinstellungen regelmäßig aktualisiert, um den Schutz der Benutzer zu gewährleisten.
Die NSO Group lehnte es zwar ab, Hacking- oder Massenüberwachungstools für Cloud-Dienste zu bewerben, bestritt jedoch nicht ausdrücklich, die in den Dokumenten beschriebenen Funktionen entwickelt zu haben.
Entscheidend ist, dass das Tool auf jedem Gerät funktioniert, das Pegasus infizieren kann..
Ein Pitch-Dokument der Muttergesellschaft von NSO, Q-Cyber, das Anfang dieses Jahres für die ugandische Regierung erstellt wurde, bewarb die Fähigkeit von Pegasus, "die Schlüssel abzurufen, die Cloud-Tresore öffnen" und "Daten unabhängig voneinander zu synchronisieren und zu extrahieren"..
Der Zugriff auf einen „Cloud-Endpunkt“ bedeutet, dass Lauschangestellte Inhalte von Smartphones weit über das Smartphone hinaus erreichen können. Auf diese Weise können Informationen über ein Ziel in mehreren Apps und Diensten „eingeblendet“ werden, so die Verkaufsargumentation. Es ist noch nicht klar, ob die ugandische Regierung den Dienst gekauft hat, der Millionen von Dollar kostet.
Nehmen Sie die Behauptungen der NSO Group mit einem Körnchen Salz.
Dies ist nicht das erste Mal, dass jemand mutige Behauptungen aufstellte, die Sicherheitsfunktionen der von Apple entwickelten Chips und der iOS-Software für iPhone und iPad zu umgehen. Es ist wahr, dass die Strafverfolgung nicht davor zurückschreckt, Millionen von Dollar an Gebühren für die Rechte zur Nutzung solcher Software zu zahlen. Es ist auch wahr, dass sich das FBI schließlich an Pegasus wandte, um ein Telefon des Schützen von San Bernardino freizuschalten. Es stimmt jedoch auch, dass es sich um ein älteres iPhone ohne den kryptografischen Apple Secure Enclave-Coprozessor handelt, der die Festplattenverschlüsselung und den Hardwareschutz für die Festplattenverschlüsselungsschlüssel bietet.
Tools wie Pegasus könnten verwendet worden sein, um sogar moderne iPhones zu hacken, aber das liegt daran, dass ihre Besitzer dumm genug waren, eine betrügerische App zu installieren, die Malware enthielt. Andere Techniken umfassen die Installation eines unsichtbaren VPN, um den Netzwerkverkehr zu überwachen, einen schwachen Passcode zu knacken oder eine wichtige Kontrolle des Benutzers auszunutzen, die einen Angriffsvektor öffnen kann.
Es sieht nicht so aus, als würde Pegasus eine iOS-Sicherheitslücke ausnutzen, um auf Ihre Cloud-Daten zuzugreifen.
Eines der Pitch-Dokumente bot eine altmodische Möglichkeit, diese Art des Abhörens zu verhindern: das Ändern des Passworts einer App und das Widerrufen der Anmeldeberechtigung. Dadurch wird die Funktionsfähigkeit des replizierten Authentifizierungstokens aufgehoben, bis Pegasus laut Dokument erneut bereitgestellt wird.
Ja, es gibt iOS-Exploits, von denen einige nie veröffentlicht werden, aber Apples aggressiver Mechanismus zur Softwareaktualisierung installiert Patches schnell. Meines Wissens hat noch kein Sicherheitsunternehmen eindeutig behauptet, dass es sich in die neuesten iPhones hacken kann.
Pegasus wurde kürzlich verwendet, um WhatsApp über eine nicht bekannte Sicherheitslücke zu hacken. WhatsApp hat seitdem die Lücke geschlossen und das US-Justizministerium ermittelt.
Gedanken?