News Spionage-Software: Pegasus-Spyware kann auch iOS 16 befallen

[mischaef]

Nach neuesten Erkenntnissen von Citizen Lab kann die Überwachungssoftware Pegasus der NSO Group über drei Zero-Click-Exploits Geräte mit iOS 15 befallen, über zwei der Lücken bietet auch das aktuelle iOS 16 Angriffsvektoren. Der mit iOS 16 eingeführte Lockdown-Modus soll aber einen ausreichenden Schutz bieten.

Zur News: Spionage-Software: Pegasus-Spyware kann auch iOS 16 befallen

 

[BorstiNumberOne]

Vielen Dank für den Artikel @mischaef.

 

[Arcturus128]

Die Spyware wird also nur durch staatliche Stellen und zur Gefahrenabwehr eingesetzt.

Wie gut, dass staatliche Stellen immer über jeden Zweifel erhaben und Gefahrenabwehr so eindeutig definiert ist. Die Stasi hätte so eine Software geliebt; zur Gefahrenabwehr natürlich nur.

 

[Opa Hermie]

Wundert mich nicht.
Die Software ist mittlerweile dermaßen aufgeblasen mit zig Funktionen, die unmöglich von jedem Kunden genutzt werden, welches Entwicklungsteam soll da noch den Überblick behalten?

Wenigstens ist die Schwachstelle(n) bekannt und kann behoben werden bzw. man vermeidet, dass sie ausgenutzt wird.

 

[raychan]

Die NSO Group gab in der Vergangenheit immer wieder an, dass die eigene Überwachungssoftware nur durch „staatliche Stellen“ zur Gefahrenabwehr eingesetzt werde. Im Laufe der Zeit wurden jedoch immer mehr Berichte publik, die die Beteuerungen des israelischen Technologieunternehmens in einem weniger guten Licht darstellen ließen: Branchenexperten und Sicherheitsforscher sahen es wiederholt als bestätigt an, dass Pegasus auch von autoritären Regimen zur Ausspähung von Journalisten, Menschenrechtlern, Politikern, Anwälten und weiteren unbescholtenen Personen verwendet wird.

Haben sie ja nichts falsches Gesagt. Autoritären Regimen sind ja auch Staatlich auch wenn uns diese Staatsform nicht gefällt. Deutschland stand mit Hitler ja auch mal anderes da. Länder verändert sich in der Geschichte immer wieder. Deshalb muss es gut überlegt sein ob so ein Tool überhaupt ein Staat nutzen sollte egal ob Demokratie oder Diktatur oder sonst eine Staatsform, den die Länder werden sich in laufe von Jahrzehnten oder Jahrhunderten ändern und dann hat man den Salat.

 

[Cool Master]

Deswegen iOS 17 bitte nicht 5000 neue Emoji sondern ein Release wie es damals Snow Leopard war. Auf Stabilität und Bugfixes aus.

 

[PieczonyKurczak]

Und deshalb sage ich den Leuten immer wieder:

-es gibt keine 100% sicheren Systeme, egal welcher Hersteller und welches OS
-es gibt keinen Schutz der 100% sämtlicher schädlichen Inhalte abwehren kann
-mit Brain.exe und etwas digitaler Kompetenz sowie aktueller Software als auch OS kann man die Risiken deutlich minimieren.

Aber darüber kann man mit einer Wand besser sprechen als mit mindestens 80% aller Menschen…

 

[BalthasarBux]

@Cool Master Der Gerüchteküche nach soll iOS17 genau das werden. Mehr wissen wir in wenigen Wochen.
Emojis kommen natürlich trotzdem, denn die kommen nicht von Apple direkt, sondern vom Emoji- Unicode-Konsortium und es wäre auch panne, würdest du Emoji von Androiden oder Windows geschickt bekommen und dein Apple kann sie nicht darstellen.

-mit Brain.exe und etwas digitaler Kompetenz sowie aktueller Software als auch OS kann man die Risiken deutlich mindern.

Stimmt zwar generell, aber gerade bei Zero-Click-Exploits wie hier hilft das alles eben nicht mehr.

 

[Cool Master]

Der Gerüchteküche nach soll iOS17 genau das werden.

Das hört man gerne! Wenn iOS 18 genau so wird, wäre das für mich noch besser. Alternativ einfach mal wieder den zwei Jahresrhythmus einführen statt jedes Jahr auf Teufel komm raus etwas "Neues" zu bauen.

denn die kommen nicht von Apple direkt, sondern vom Emoji Konsortium

Und wieder was gelernt Wusste nicht, dass es dafür extra ein Konsortium gibt.

 

[-=[CrysiS]=-]

Kein System ist sicher, gut das bei einigen Herstellern schnell reagiert und dementsprechend gehandelt wird. Danke für die Meldung

 

[Arcturus128]

Und wieder was gelernt Wusste nicht, dass es dafür extra ein Konsortium gibt.

Das macht, wenn ich nicht irre, das Unicode-Konsortium. Aber Emoji-Konsortium passt heutzutage eigentlich gut. 😄

 

[jotecklen]

Ich fänds gut, wenn das alles mal komplett neu in speichersicheren Progammiersprachen geschrieben wird.

 

[Cool Master]

@jotecklen

Auch dort gibt es (unentdeckte) Lücken. Jahrelang galten Sandboxes und VMs ja als sicher bis Meltdown und Spectre da waren. Es gibt also nicht "das Heilmittel" es muss immer eine Kombination aus allem sein um wirklich der Best-Practice gerecht zu werden.

Das Größe Problem welches ich sehe ist das nutzen von zig hundert bis tausend Bibliotheken und dem fehlenden Code-Review dieser. Das Problem ist wer zahlt ein Code-Review bei einem Open-Source Projekt? Richtig niemand. Ist ja Open-Source kommt dort Geld ins Spiel hätte man es auch gleich selber entwickeln können...

 

[pitu]

über zwei der Lücken bietet auch das aktuelle iOS 16 Angriffsvektoren. Der mit iOS 16 eingeführte Lockdown-Modus soll aber einen ausreichenden Schutz bieten.

Was ist dieser Lockdown Modus? Wird der automatisch von meinem Iphone initiiert?

 

[BalthasarBux]

@pitu https://support.apple.com/de-de/HT212650

 

[Termy]

Dass Firmen Sicherheitslücken horten dürfen ist in meinen Augen ein absolutes Armutszeugnis für die Gesetzgebung der jeweiligen Länder...
Die Sicherheit aller aufs Spiel setzen, um Kohle zu scheffeln indem man Whistleblower und Journalisten Folter und Mord ausliefert - yeah, da kann man richtig stolz drauf sein!

 

[Cool Master]

Dass Firmen Sicherheitslücken horten dürfen ist in meinen Augen ein absolutes Armutszeugnis für die Gesetzgebung der jeweiligen Länder...

Denkst du die CIA, NSA und auch der BND macht das nicht?

Klar wäre es schön für alle aber so lange es Geheimdienste gibt solange wird es auch horten von Informationen geben.

 

[Hovac]

Gibt es ein Land welches die Software bestellt und sagt, wir sind kein Rechtsstaat?
Sind also nur Floskel, zudem macht es keinen Unterschied wenn eine Demokratie Journalisten und andere überwacht. Hier nennt man die zur Überwachung auserkorenen halt nicht Aktivisten sondern z.B Querdenker und schon passt es.

 

[aLanaMiau]

puh... zum glück hab ich kein iphone, das klingt ja furchtbar.

 

[PieczonyKurczak]

puh... zum glück hab ich kein iphone, das klingt ja furchtbar.

puh… zum Glück gibt es für Android gar keine sicherheitslücken und (Zero-Day)Exploits. 🙂

(scnr)