Die Erkennung und Neutralisierung von Spyware, insbesondere der berüchtigten Pegasus-Spyware, ist ein drängendes Sicherheitsproblem für iPhone-Besitzer weltweit.

Spyware Pegasus erkennen

Kaspersky-Forschern ist nun ein entscheidender Durchbruch gelungen: Sie haben ein Tool entwickelt, mit dem iOS-Nutzer mögliche Infektionen mit Pegasus erkennen können.

Diese Entdeckung ist nicht nur wegen der technischen Innovation von Bedeutung, sondern auch wegen der politischen und sozialen Implikationen, die der Einsatz von Staatstrojanern durch Regierungsbehörden mit sich bringt.

Das Versteckspiel der Spionagesoftware

Pegasus, entwickelt von der NSO Group, ist eine hochentwickelte Spyware, die sich tief in die Systeme von iOS-Geräten eingräbt und für den durchschnittlichen Nutzer unsichtbar bleibt. Die Entdeckung durch Kaspersky ist das Ergebnis jahrelanger Forschung und Analyse infizierter iPhones.

Bemerkenswert an der Entdeckung ist, dass Pegasus konkrete Spuren im Systemprotokoll Shutdown.log hinterlässt, das bei jedem Neustart eines iOS-Geräts gefüllt wird. Diese Datei, die Einträge über mehrere Jahre speichert, bietet Einblicke in beendete Prozesse und deren Zeitstempel – ein entscheidender Anhaltspunkt für die Entdeckung der Spyware.

Der Schlüssel zur Erkennung

Die Kaspersky-Forscher entdeckten, dass Pegasus typischerweise vom Pfad ‚/private/var/db/‘ aus operiert, was sich wiederholt im Shutdown.log-Protokoll widerspiegelt. Ein ähnlicher Befund wurde für die von Intellexa vertriebene Spyware Predator festgestellt, die häufig vom Pfad ‚/private/var/tmp/‘ aus operiert.

Die Analyse dieser Systemprotokolle erweist sich somit als effektives Mittel, um Infektionen mit beiden Malware-Familien zu erkennen. Allerdings gibt es eine Einschränkung: Eine zuverlässige Erkennung erfordert häufige Neustarts des iPhones. Die genaue Häufigkeit hängt vom Risikoprofil des Nutzers ab.

Drei Skripte zur Abwehr

Die Kaspersky-Forscher stellen ihre Entdeckung in Form von drei Python-Skripten auf Github zur Verfügung.

  • Das erste, iShutdown_detect, analysiert die Datei shutdown.log und identifiziert Anomalien.
  • iShutdown_parse extrahiert die Logdatei aus einem sysdiag-Archiv und konvertiert sie in ein leicht verständliches CSV-Format.
  • Das dritte Skript, iShutdown_stats.py, extrahiert verschiedene Daten aus der Shutdown.log, um die Häufigkeit und den Zeitpunkt von Neustarts zu analysieren.

Fragen und Antworten

Frage 1: Wie genau funktioniert das Pegasus Detection Tool?
Antwort 1: Das Tool analysiert das Systemprotokoll shutdown.log auf iOS-Geräten. Es sucht nach Spuren und Mustern, die typisch für die Aktivität von Pegasus sind, wie z.B. bestimmte Pfade und Prozessnamen.

Frage 2: Steht das Tool allen iPhone-Benutzern zur Verfügung?
Antwort 2: Ja, die Python-Skripte sind auf Github frei verfügbar und können von jedem mit Grundkenntnissen in Python verwendet werden.

Frage 3: Wie können Nutzer feststellen, ob sie von Pegasus betroffen sind?
Antwort 3: Nutzer können die bereitgestellten Skripte verwenden, um die Shutdown.log-Datei ihres Geräts zu analysieren. Auffälligkeiten oder bestimmte Muster in dieser Datei können auf eine Infektion hinweisen.

Frage 4: Ist ein häufiger Neustart des iPhones notwendig, um das Tool effektiv nutzen zu können?
Antwort 4: Ja, die Forscher empfehlen häufige Neustarts, da dadurch Daten in der Shutdown.log gesammelt werden, die für die Analyse und Erkennung von Pegasus wichtig sind.

Frage 5: Bietet das Tool auch Schutz gegen andere Arten von Malware?
Antwort 5: Das Tool wurde speziell für die Erkennung von Pegasus und Predator entwickelt. Es kann jedoch auch zur Erkennung ähnlicher Arten von Spyware verwendet werden, die vergleichbare Spuren hinterlassen.

Die Bedeutung der Aufdeckung

Dieser Fortschritt in der Cybersicherheit ist ein wichtiger Schritt im Kampf gegen staatlich unterstützte Spionage und stellt eine bedeutende Entwicklung im Bereich der digitalen Privatsphäre und Sicherheit dar. Alle iPhone-Nutzer sind aufgefordert, sich der potenziellen Risiken bewusst zu werden und die notwendigen Schritte zu unternehmen, um ihre Geräte zu sichern.

Quelle: Golem, Securelist/Kaspersky

Um auf dem Laufenden zu bleiben und weitere Informationen zu erhalten, können Sie den Mimikama-Newsletter abonnieren und sich für unsere Online-Vorträge und Workshops anmelden.

Das könnte Sie auch interessieren:

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)