Pegasus-spionagesoftware laat zien dat ook de iPhone nooit 100% veilig is

De Apple-community werd deze week opgeschrikt door nieuws over gevaarlijke malware met de naam Pegasus. Wat is Pegasus precies en in welke mate loop jij gevaar? Dat lees je in dit artikel. Goed om te weten is dat Apple voor iedereen met een recente iPhone of iPad het probleem heeft opgelost. In iOS 9.3.5, iOS 10 beta 7 en de publieke beta 6 van iOS 10 is het beveiligingslek gedicht.

Wat is Pegasus?

Pegasus is de naam van spionagesoftware, dat wordt verkocht door de NSO Group in Israel. De software wordt gebruikt door overheden om activisten, journalisten en andere doelwitten te bespioneren. Zo zou het zijn gebruikt bij het bespioneren van Rafael Cabrera, een Mexicaanse journalist die misstanden onthulde over een machtige Mexicaanse familie. NSO verkoopt de software voor miljoenen aan overheden. De software stuurt berichtjes die afkomstig lijken van het Rode Kruis, Facebook, Federal Express, CNN, Al Jazeera, Google en andere bonafide organisaties.

De kans dat jij als gewone burger bespioneerd wordt, is niet zo groot. Tenzij je onderzoeksjournalist, dissident of mensenrechtenactivist bent, voor organisaties zoals Bits of Freedom werkt of een dubbelleven leidt als spion. Ben je doorsnee burger, dan moet je nog steeds je privégegevens beschermen met zaken als tweestapsverificatie en encryptie van je berichten, maar de kans dat jij doelwit bent van Pegasus is vrij klein.

Deze toestellen zijn beschermd tegen Pegasus
Heb je een iPhone 4s of nieuwer, dan is het aan te raden om iOS 9.3.5 de komende dagen te installeren. Ben je betatester, dan bieden iOS 10 beta 7 en iOS 10 publieke beta 6 ook bescherming tegen Pegasus. Helaas heb je wel een probleem als je een iPhone 4 of ouder, een iPad 1 of een iPod touch 4G of ouder hebt, want daarvoor heeft Apple nog geen beveiligingsupdate uitgebracht. Deze toestellen blijven steken op iOS 7.1.2 en soms nog veel oudere versies.

Dit is de huidige situatie voor oudere toestellen:

• iPad 1: iOS 5.1.1 (verschenen in 2012)
• iPhone 4: iOS 7.1.2 (verschenen in 2014)
• iPhone 3Gs en iPod touch 4G: iOS 6.1.6 (verschenen in 2014)
• iPod touch 3G: iOS 5.1.1 (verschenen in 2012)
• iPhone 3 en iPod touch 2G: iOS 4.2.1 (verschenen in november 2010)
• iPhone 1: iOS 3.1.3 (verschenen in 2010)
• iPod touch 1G: iOS 1.1.5 (verschenen in 2008)

Voor alle hierboven genoemde toestellen is er dus nog geen bescherming tegen de Pegasus-malware. Je kunt deze toestellen daarom beter niet meer gebruiken voor privacygevoelige activiteiten.

Dit is er aan de hand
Mensenrechtenactivist Ahmed Mansoor, woonachtig in de Verenigde Arabische Emiraten (UAE), ontving een sms-je op zijn iPhone. Daarin werden ‘nieuwe geheimen’ over het martelen van gevangenen in UAE beloofd, als hij op een linkje klikte. Het linkje leek naar een webpagina van het Rode Kruis te verwijzen. Mansoor besloot niet te klikken, maar stuurde het bericht door naar het Citizen Lab, een onderzoeksinstelling. Zij herkenden het bericht als malware van de NSO Group, een Israëlisch bedrijf dat spionagesoftware verkoopt aan overheden. NSO Group is tegenwoordig eigendom van een Amerikaanse durfinvesteerder, Francisco Partners Management.

Citizen Lab voerde in samenwerking met beveiligingsbedrijf Lookout Security het verdere onderzoek uit. Daarbij ontdekten ze dat Pegasus gebruik maakt van maar liefst drie zero-day exploits. Dit zijn pas ontdekte beveiligingslekken, die nog niet zijn opgelost. Had Mansoor wel op het linkje geklikt, dan was zijn iPhone in een paar tellen ongevraagd gejailbreakt. Ook zou de iPhone 6 van Mansoor zijn veranderd in een spionagetoestel: hij zou via de camera en microfoon worden afgeluisterd en al zijn activiteiten, zoals telefoontjes en WhatsApp-gesprekken zouden worden opgenomen. Ook het gebruik van versleutelde berichtenapps zoals Telegram en Signal is dan niet meer veilig genoeg.

Is je iPhone nog wel veilig?

De situatie laat zien dat je iPhone niet zo veilig is als mensen soms denken, ook al doet Apple er alles aan om je gegevens zo goed mogelijk te beschermen met encryptie en privacybeloften. De drie lekken waar Pegasus gebruik van maakt, waren tot voor kort niet bekend bij Apple en zijn waarschijnlijk jarenlang misbruikt om ‘kritische elementen’ in de samenleving te bespioneren. Bedrijven zoals NSO maakten er stilletjes gebruik van. NSO beweert dat alles wat ze doen legaal is en dat ze binnen de geldende wetgeving opereren. Overheden die de software kopen, beloven dat ze het legaal zullen inzetten, maar uiteraard kan NSO dat niet uitgebreid controleren (en het is ook maar de vraag of ze dat zouden willen).

NSO heeft klanten over de hele wereld, ook in westerse landen zoals Mexico. Bovendien is NSO niet het enige bedrijf dat dergelijke software aanbiedt. De FBI én de Nederlandse politie zijn klant bij het eveneens Israëlische bedrijf Cellebrite, dat tegen betaling iPhones hackt. Daarnaast zijn er in het grijze circuit nog allerlei hackersgroepen die geld verdienen met het exploiteren van hacks. De FBI schakelde een dergelijke ‘anonieme’ hackersgroep in om toegang te krijgen tot de iPhone van een terrorist uit San Bernardino.

Apple mag dan wel een beloningsprogramma voor hackers hebben opgericht, waarmee je leuk kunt verdienen. Maar er valt nog veel meer te verdienen als je een exploit aan ‘cyberwar’-bedrijven zoals NSO en Cellebrite verkoopt.

Dit zijn de Trident-exploits die Pegasus gebruikt

Uit de analyse van Lookout blijkt dat er drie zero-day exploits zijn gebruikt, waarmee het mogelijk is om een iPhone met één klik te jailbreaken. Dat doet terugdenken aan de begindagen van de iPhone, toe je verplicht was om de iPhone te jailbreaken om het toestel simlockvrij te maken. Je moest daarbij op een linkje klikken om de jailbreak uit te voeren. Tegenwoordig is het wel iets omslachtiger geworden om te jailbreaken, maar de methode die NSO heeft gevonden werkt enigszins op dezelfde manier. Een nietsvermoedend slachtoffer klikt op een linkje in een bericht en de jailbreak is uitgevoerd.

Lookout legt uit welke drie zero-day exploits daarbij zijn gebruikt, die ze gezamenlijk Trident noemen (om de nuances intact te houden lees je hieronder de originele Engelstalige tekst):

• CVE-2016-4655: Information leak in Kernel – A kernel base mapping vulnerability that leaks information to the attacker allowing him to calculate the kernel’s location in memory.
• CVE-2016-4656: Kernel Memory corruption leads to Jailbreak – 32 and 64 bit iOS kernel-level vulnerabilities that allow the attacker to silently jailbreak the device and install surveillance software.
• CVE-2016-4657: Memory Corruption in Webkit – A vulnerability in the Safari WebKit that allows the attacker to compromise the device when the user clicks on a link.

Kan Apple dit in de toekomst voorkomen?

Apple werkt er hard aan om te zorgen dat dit niet weer voorkomt, want het levert ze reputatieschade op. Apple beloofde immers dat je privacy altijd veilig is en uit opmerkingen van de FBI, NSA en andere inlichtingendiensten kreeg je de indruk dat het bijna onmogelijk is om op een iPhone in te breken. Dat blijkt inmiddels een leugen te zijn: met software van NSO was het jarenlang mogelijk om gebruikers af te luisteren. Het probleem is dat Apple te maken heeft met duizenden regels code waar altijd wel een paar foutjes in kunnen sluipen. Het is onmogelijk om alle kwetsbaarheden vroegtijdig te onderscheppen, nog voordat hackers ze ontdekken. Apple noemde hackers al de grootste bedreiging voor de privacy van gebruikers.

Apple zou meerdere dingen kunnen doen om dergelijke situaties te voorkomen: snel reageren zodra een zero-day exploit wordt ontdekt, beter samenwerken met externe beveiligingsexperts en constant blijven werken aan de beveiliging van producten. Hoe ze dat aanpakken is onder andere te zien in de Black Hat-presentatie die Apple dit jaar op de bekende beveiligingsconferentie gaf. Maar het zal altijd een kat-en-muisspel blijven. De enige geruststelling is dat jij waarschijnlijk geen Ahmed Mansoor heet, niet in een land woont waar dissidenten zomaar worden opgepakt en dat jouw doen en laten waarschijnlijk niet interessant genoeg is om dagelijks te volgen.

Apple’s enige reactie tot nu toe:

Wij adviseren al onze klanten om altijd de nieuwste versie van iOS te installeren om zich te beschermen tegen potentiële beveiligingsexploits.