Es scheint, als hätte Apple etwas geahnt. Anfang August erst hatte das Unternehmen auf der Konferenz Black Hat angekündigt: Wer Sicherheitslücken in iOS entdeckt und sie Apple meldet, kann künftig bis zu 200.000 US-Dollar kassieren. Nun steht fest: Es existieren mehr Sicherheitslücken, als man Apple zugetraut hat. Jahrelang gab es mindestens drei – und mit Pegasus bereits eine Schadsoftware, die sie sich zunutze gemacht hat.

Das Programm nistet sich in iPhones ein und kann dort unter anderem E-Mails, Nachrichten, Passwörter abgreifen und Anrufe mitschneiden. Pegasus sei eines der "anspruchsvollsten Spionageprogramme, die wir je gesehen haben", sagt Mike Murray, Vizepräsident des Sicherheitsunternehmens Lookout, die gemeinsam mit der kanadischen Forschungseinrichtung Citizen Lab die Software identifiziert haben.

Drei Schwachstellen für eine Schadsoftware

Am 10. August entdeckte der in den Vereinigten Arabischen Emiraten ansässige Aktivist Ahmed Mansoor seltsame Nachrichten auf seinem iPhone. Sie enthielten einen Link, hinter dem sich angeblich Hinweise auf Folter in Gefängnissen der Vereinigten Arabischen Emirate verbergen sollten. Mansoor, der in der Vergangenheit bereits im Ziel von staatlichen Hackern stand, war skeptisch. Anstatt den Link zu klicken, benachrichtigte er die Forscher des Citizen Lab.

Gemeinsam mit Lookout konnten diese herausfinden, dass ein Klicken des Links gleich drei Zero-Day-Schwachstellen in iOS aktiviert. Zero-Day heißen Lücken in Soft- oder Hardware, von denen der jeweilige Hersteller zunächst selbst nichts weiß. Die Forscher sprechen im aktuellen Fall von Trident, auf Deutsch "Dreizack", weil eben drei bislang unbekannte Lücken kombiniert werden, um den Angriff auszuführen.

Die SMS, die Ahmed Mansoor bekam. © Ahmed Mansoor

Die erste Lücke befindet sich im mobilen Safari-Browser, in dem die Angreifer eigenen Code einschleusen und ausführen können. Über diesen nutzen sie eine zweite Lücke, mit deren Hilfe sie den genauen Ort des zentralen Bestandteils des Betriebssystems, den Kernel, auf dem iPhone finden. Auf diese Weise wird die dritte Lücke offenbart. Sie erlaubt es, die Pegasus-Schadsoftware ohne Kenntnis der Nutzer tief im System zu verstecken.

Die Experten informierten Apple bevor sie ihre Entdeckung öffentlich machen, damit das Unternehmen die Lücken schließen konnte. Und Apple reagierte schnell: Nur zehn Tage benötigten die Entwickler. Alle iPhone-Besitzer sollten nun möglichst schnell das Update auf iOS 9.3.5. installieren. Wie das geht, steht hier im Detail.

Die Spur führt nach Israel

Aber wer steckt hinter den Angriffen? Während es noch unklar ist, wer genau Mansoor hacken wollte, gibt es Hinweise auf die Herkunft von Pegasus. Die Spionagesoftware wurde den Analysen der Forscher zufolge vom israelischen Unternehmen NSO Group entwickelt und vermarktet, bislang aber noch nicht "in freier Wildbahn entdeckt", sagt Sicherheitsforscher Murray.

Über NSO Group ist wenig bekannt, die Firma hat keine Website, ist in der Szene aber dafür bekannt, komplexe Schadsoftware an Regierungen und Geheimdienste zu verkaufen. Ihr Name tauchte bislang in Verbindung mit der mexikanischen Regierung und dem italienischen Unternehmen Hacking Team auf. Auch Angriffe auf Aktivisten in den Vereinigten Arabischen Emiraten enthielten Spuren, die zu Produkten von NSO Group führten. In einer Stellungnahme sagt ein Sprecher des Unternehmens, dass ihre Kunden die Produkte nur legal einsetzen dürfen und seine Firma nicht an autoritäre Regime liefere.

Kaum ein Experte glaubt das ernsthaft. In den vergangenen Jahren ist ein lukrativer Graumarkt entstanden, auf dem Zero-Day-Lücken und Spionagesoftware verkauft werden. Erst vergangene Woche hatte eine Hackergruppe namens Shadow Brokers geheime Waffen der NSA entwendet. In einem anderen Fall hat das FBI mutmaßlich bislang Unbekannte bezahlt, um ein iPhone eines Attentäters letztlich ohne Apples Hilfe entsperren zu können – die verwendete Lücke existiert möglicherweise weiterhin.