Gerade im Vergleich zu Android-Geräten haben iOS-Geräte den Ruf, gut gegen Attacken von außen gesichert zu sein. Nun allerdings berichten Sicherheitsforscher der Firma Lookout von einem Programm, das sich an diversen Sicherheitsmaßnahmen vorbei in iPhones einnisten und auf breiter Front Daten abgreifen kann.

Ersten Analysen zufolge  nutzt die "Pegasus" genannte Software gleich drei bislang unbekannte Schwachstellen in Apples Software aus - erst eine im Safari-Webbrowser und dann zwei im Kern des Mobilbetriebssystems iOS.

Über die Safari-Lücke konnte beliebiger Softwarecode ausgeführt werden, heißt es von Lookout. Die Angreifer nutzten das, um die Angriffselemente von "Pegasus" auf das Gerät zu laden. Dafür genügte es, dass die Zielperson einen präparierten Link anklickt. Danach passierte nichts Ungewöhnliches, außer dass sich die Safari-App schloss.

Professionell und ausgeklügelt

Über eine Schwachstelle im Kernel selbst sicherte sich "Pegasus" danach weitreichenden Zugriff auf das iPhone. Das Spionageprogramm führte heimlich einen sogenannten Jailbreak durch - so wird der Prozess bezeichnet, bei dem ein iPhone von den von Apple vorgesehenen Einschränkungen befreit wird. Nach dem Jailbreak konnte "Pegasus" dann Überwachungssoftware hinzufügen.

Anfällig für "Pegasus" sollen iOS-Varianten ab dem vor drei Jahren eingeführten iOS 7 sein. Die Software soll extrem viele Funktionen bieten. Den Forschern zufolge kann sie Anrufe mitschneiden, Aufenthaltsorte verfolgen, Kontaktlisten einsehen, E-Mails lesen sowie Daten von Facebook und Kommunikationsdiensten wie WhatsApp, Skype, Telegram, Viber oder WeChat abgreifen.

Lookouts Chefforscher Mike Murray sagte der Website "TechCrunch", er habe nicht viele Angriffe gesehen, die so professionell und ausgeklügelt gestaltet wurden. Der Nachrichtenagentur Reuters zufolge ist die Software die erste, die aus der Ferne ein iPhone 6 mit allen bisherigen Updates übernehmen kann.

Steckt die NSO Group dahinter?

Die Sicherheitsexperten vermuten hinter "Pegasus" die Firma NSO Group aus Israel, die einem amerikanischen Finanzinvestor gehört. Sie äußerte sich nicht zur Urheberschaft, verwies in Stellungnahmen für die "New York Times" und "Vice" aber darauf, dass sie ihre Software nur an Regierungsbehörden verkaufe und auch nicht an Länder, gegen die Ausfuhrbeschränkungen gelten.

Dass unter anderem Geheimdienste auf bisher unbekannte Schwachstellen setzen, um Geräte zu knacken, hatten Edward Snowdens Enthüllungen gezeigt. Unter anderem der US-Geheimdienst NSA sucht gezielt nach solchen angreifbaren Schwachstellen und hortet sie mitunter sogar - wobei ein Regierungsgremium regelmäßig darüber entscheidet, ob sie im Interesse der Öffentlichkeit den Anbietern gemeldet werden sollten. Denn Einfallstore für Geheimdienste könnten auch von Kriminellen entdeckt und dann von ihnen genutzt werden.

Mit Softwareschwachstellen herrscht online ein reger Handel. Erst vor einigen Monaten sorgte eine Firma für Aufsehen, die eine Million Dollar für eine "Zero-Day"-Lücke beim iPhone bot - so werden Fehler genannt, die dem Anbieter noch unbekannt sind und deswegen erst einmal frei ausgenutzt werden können. Apple, das sich lange dagegen gesträubt haben soll, Belohnungen für gefundene Schwachstellen zu zahlen, bietet seit einigen Wochen bis zu 200.000 Dollar  für die Aufdeckung von Lücken in seinem Betriebssystem an.

"Pegasus" ist schon im Umlauf

Gefährlich ist "Pegasus" vor allem, weil die Software bereits in freier Wildbahn entdeckt wurde  - iPhone-Nutzer sollten daher darauf achten, dass sie die neueste, gepatchte iOS-Version 9.3.5 nutzen, die man seit dem Donnerstag herunterladen kann. Den Forschern zufolge hat Apple zehn Tage benötigt, um die Lücke zu schließen - was eine vergleichsweise schnelle Reaktion ist. Welche iOS-Version man nutzt, kann man unter "Einstellungen" -) "Allgemein" -) "Software-Aktualisierung" herausfinden.

Links, die zu einer Infektion seines Geräts mit "Pegasus" geführt hätten, waren am 10. und 11. August per SMS beim Menschenrechtsaktivisten Ahmed Mansoor gelandet. Die Nachrichten versprachen ihm "neue Geheimnisse" über gefolterte Häftlinge in den Vereinigten Arabischen Emiraten.

Mansoor hatte allerdings nicht darauf geklickt, sondern die Nachricht von seinem iPhone 6 an Forscher des Citizen Labs der Universität von Toronto weitergeleitet - die wiederum hatten sich mit Lookout zusammengetan. Mansoor sei schon zwei Mal mit hochprofessioneller Schadsoftware angegriffen worden, schreibt das Citizen Lab - mit per E-Mail verbreiteter Software der Firmen FinFisher und Hacking Team.