Spyware Pegasus: Wenn etwas so Gefährliches so schön und unglaublich ist

Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,

2021 war ein sehr ambivalentes Jahr, auch für Apple: Es gab Highlights aber auch Flops, die der iPhone-Konzern schlicht vergessen möchte. Für viele war der Konzern selbstverantwortlich, doch die Spionage-Software Pegasus stellte alles in den Schatten. Und das ist wortwörtlich gemeint, wenn man sich einmal den raffinierten und zugleich eleganten Hack anschaut. Pegasus sticht dabei hauptsächlich dadurch heraus, dass es entgegen der sonstigen Gepflogenheiten, nach denen einen Hack in der Regel immer einfach und simpel gestrickt ist, eher komplex und mehrere Schwachstellen miteinander kombiniert. Die NSO-Group hat iOS genauestens analysiert und es in Summe geschafft, einen virtuellen Turing-Rechner auf einem infizierten iPhone auszuführen.

Ein animiertes GIF in Endlosschleife hebelte die Sicherheitsfunktionen von iOS aus

Pegasus agierte dabei gänzlich andres, als es bei bisheriger Schadsoftware der Fall war. Denn eine angegriffene Person musste nämlich keinen infizierten Link oder Sonstiges anklicken. Um Pegasus ausführen zu können, benötigte der Angreifer lediglich die Mobilfunknummer bzw. die Apple ID, die zum Empfangen von iMessages eingerichtet ist. Die Spionage-Software nutzte nämlich eine Schwachstelle im GIF-Empfang, für die Apple selbst verantwortlich ist. Apple hat die Wiedergabe von GIFs so angelegt, dass diese in einer Endlosschleife durchlaufen.

Blöderweise  entschlüsselt Apple in iOS-Versionen vor 15.0 diese Bilder außerhalb der Nachrichten-Sandbox „BlastDoor“ und genau hier setzt Pegasus an. Um nun ein animiertes GIF in Endlosschleife darzustellen, dekodiert Apple das GIF über das Framework „CoreGraphics“, um schließlich ein neues GIF-Bild mit Endlos-Animation zu erstellen. Doch hier besteht ein Problem: Das ImageIO-Framework, welches zum Laden der Bilder verwendet wird, ignoriert völlig den Dateityp und schaut nur nach der Dateiendung. Die NSO-Group nutzte diese Schwachstelle aus und setzt hier auf ein PDF, welches schlicht mit der Endung .gif versehen wurde. Hier kommt nun direkt die nächste Schwachstelle zum Tragen.  Dieses PDF verwendet eine Uralt-Kompression für Schwarz/Weiß-Bilder, welche auch beim Fax zum Einsatz kommt: JBIG2.

JBIG2 nutzt ein Verfahren, um Doppelungen in einem Bild zu erkennen und zusammenzufassen – dadurch werden diese Bilder erheblich kleiner:

Hier kommt ein Code des Open-Source-Projektes Xpdf zum Einsatz, welcher diverse Schwachstellen aufweist. Eine dieser Schwachstellen ist der sogenannte Integer Overflow, welche Pegasus auf zwei Arten ausnutzt:  Die erste Schwachstelle erlaubt das Schreiben an beliebige Speicherstellen – aber dies hilft dem Hacker erst einmal wenig, da kein Code ausgeführt werden kann, um bestimmte Speicherstellen zu ermitteln. Doch die zweite Schwachstelle innerhalb dieser Lücke lässt den Hack mit Pegasus so elegant erscheinen

So wird aus einem Hack ein virtueller Computer, vollgestopft mit Schadsoftware

Wie die Google-Forscher berichten, gelang es bei dieser Attacke unter Ausnutzung einer speziellen Komprimierungsart von JBIG2 Schaltungen mit beliebigen Logikgattern zu emulieren, die auf beliebigen Speicher arbeiten. „Using over 70,000 segment commands defining logical bit operations, they define a small computer architecture with features such as registers and a full 64-bit adder and comparator“. Es gelang also, eine Art virtueller Computer zu erstellen. 

Die Spionage-Software Pegasus nutzt hier auf geschickte Art und Weise den Zusammenfassungs-Algorithmus aus, um logische AND-, OR-, XOR- und XNOR-Operationen zu bilden. Das ist de facto ein Turing-Computer und erlaubt es der Software Pegasus, jegliche Operationen auszuführen. Und das obwohl der JBIG“-Code eigentliche über keinerlei Script-Möglichkeiten verfügt. Der Angriff nutzt über 70.000 Logik-Gatter, um einen virtuellen Computer samt Registern und einem 64-Bit-Adder zu konstruieren – damit durchsuchen die Angreifer den Speicher des iPhones und führen arithmetische Operationen aus, um das Smartphone zu hacken. Durch diese Befehle gelang es den Entwicklern, die Sandbox von Apple zu umgehen, um sich so Zugriff auf das Gerät zu verschaffen.

Mit iOS 14.8.1 rollte Apple den ersten Patch dagegen aus

Erst mit dem Update auf iOS 14.8.1 schränkte Apple den Zugriff auf den Bild-Dekoder ein, lies aber noch eine Hintertür offen. Erst mit iOS 15.0 sorgte Apple dafür, dass das oben beschriebene Entschlüsseln der Bilddateien komplett und vollständig in der Sandbox „BlastDoor“ ablaufen. Damit unterbindet der iPhone-Konzern durch diese zusätzliche Sicherheitsebene, dass Hacker durch Speicherüberlauf oder andere vergleichbare Schwachstellen einen Zugriff auf Systemressourcen bekommen.

Ein Mini-Computer in einem Fax-Codec

Schlussendlich ist Pegasus also eine Schadsoftware, die im Kern auf einem Fax-Codec bzw. dessen Dekompressionsroutine beruht, der eigentlich schlicht simpel ist. Doch die NSO-Group kombinierte das durch Ausnutzen diversester Schwachstellen in einer zweiten Ebene zu einem Mini-Computer, der sich „steuern“ lässt. Lassen wir für einen Augenblick Moral und Ethik weg, bleibt einem nichts anderes übrig, als Pegasus für genau das anzuerkennen , was es ist: Ein technisch unglaublich beeindruckend erHack mit einer unfassbaren Eleganz und Leichtigkeit

Was haltet Ihr von Pegasus? Schreibt mir Euer Feedback in die nachfolgenden Kommentare

Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick a.k.a. Meister des Apfels

Einmalig
Monatlich
Jährlich

Spendiere mir einen Kaffee und unterstütze damit meinen Blog und mich bei der Arbeit

Monatlich spenden

Jährlich spenden

Wähle einen Betrag aus

€5,00
€15,00
€100,00
€5,00
€15,00
€100,00
€5,00
€15,00
€100,00

Oder gib einen individuellen Betrag ein


Wir wissen deine Spende sehr zu schätzen.

Wir wissen deine Spende sehr zu schätzen.

Wir wissen deine Spende sehr zu schätzen.

SpendenMonatlich spendenJährlich spenden

Kommentar verfassen

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑

appletechnikblog
%d Bloggern gefällt das: