Pegasus Project: de iMessage-app maakt iPhones van Apple kwetsbaar voor spionage
Ook iPhones met het recentste besturingssysteem kunnen gehackt worden met de Israëlische spyware Pegasus. De iMessage-app kan daarbij gebruikt worden als toegangspoort om de malware te installeren. Dat blijkt uit het onderzoek Pegasus Project. Apple reageert dat het blijft investeren om zijn toestellen veiliger te maken.
Zelfs een iPhone 12 met de recentste software-updates van Apple blijkt niet bestand tegen de Israëlische spyware Pegasus. Apple gaat er nochtans prat op dat het de veiligste producten op de markt brengt. Maar het Pegasus Project toont dat ook iPhones kwetsbaar zijn voor geavanceerde malware.
Het Pegasus Project is een onderzoek door 17 media – waaronder Knack en Le Soir – naar de spyware Pegasus van het Israëlische bedrijf NSO Group. Het project werd gecoördineerd door het non-profitplatform Forbidden Stories.
Tijdens het onderzoek troffen IT-experts van Amnesty International Security Lab op 37 smartphones, onder meer van journalisten en mensenrechtenactivisten, sporen van Pegasus aan. Die spyware is nochtans ontwikkeld om terroristen en criminelen op te sporen.
Letterlijk alles wat je op je smartphone doet, kan Pegasus stiekem gadeslaan. Wachtwoorden, sms’jes, foto’s, contactenlijsten, oproepen, websitebezoeken, locatiegegevens… niets is veilig voor Pegasus. De software kan ook je microfoon en camera van een afstand inschakelen of ongezien screenshots maken.
Tot een aantal jaar geleden moest je eerst nog op een verdachte link klikken vooraleer Pegasus zich meester kon maken over je smartphone. Maar de recentere aanvallen zijn meer gesofisticeerd: je hoeft zelfs niet meer op een link te klikken. Kwetsbaarheden in je toestel worden uitgebuit om Pegasus toegang te geven tot het systeem.
iMessage
In 13 van de geïnfecteerde iPhones die Security Lab onderzocht, bleek dat de ingebouwde iMessage-app een rol had gespeeld bij de hacking met Pegasus. In nog eens 6 andere gevallen bleek dat iMessage gebruikt was bij een mislukte poging tot hacking.
Probleem is onder meer dat iMessage toelaat dat je zonder waarschuwing berichten ontvangt van personen die niet in je contactenlijst staan. Bij de geanalyseerde infecties bleken die berichten bijvoorbeeld afkomstig van een Gmail-gebruiker genaamd ‘linakeller2203’. Zulke berichten kunnen ongemerkt op je iPhone belanden en je toestel besmetten.
Apple reageert op het Pegasus Project
‘Apple veroordeelt ondubbelzinnig de cyberaanvallen tegen journalisten, mensenrechtenactivisten en anderen die van de wereld een betere plek willen maken’, reageert Ivan Krstic op de eerste onthullingen van het Pegasus Project. Tegelijk verdedigt Krstic, hoofd van Apple Security Engineering and Architecture, de beveiligingsinspanningen van zijn bedrijf.
‘Al meer dan tien jaar loopt Apple voorop als het gaat om innovatie op het gebied van beveiliging, en als gevolg daarvan zijn veiligheidsonderzoekers het erover eens dat de iPhone het veiligste mobiele consumentenapparaat op de markt is’, liet Krstic weten aan onze mediapartner The Washington Post. ‘Aanvallen zoals degene beschreven (in het Pegasus Project, nvdr.) zijn zeer geraffineerd, kosten miljoenen dollars om te ontwikkelen, hebben vaak een korte houdbaarheid en worden gebruikt om specifieke personen aan te vallen. Hoewel dit betekent dat ze geen bedreiging vormen voor de overgrote meerderheid van onze gebruikers, blijven we onvermoeibaar werken aan de bescherming van al onze klanten, en voegen we voortdurend nieuwe beschermingen toe voor hun apparaten en gegevens.’
In een e-mail aan The Washington Post stelt Apple dat het zijn beveiligingsteam, dat zich richt op het opsporen van geraffineerde tegenstanders, de afgelopen jaren aanzienlijk heeft uitgebreid. Apple zegt dat het zich onderscheidt van zijn concurrenten doordat het ervoor kiest deze inspanningen niet publiekelijk te bespreken en zich in plaats daarvan richt op het bouwen van nieuwe beveiligingen voor zijn software. Het Apple-beveiligingsteam zou de afgelopen vijf jaar zijn verviervoudigd.
Apple verwierf aanvankelijk een goede reputatie inzake privacybescherming, toen het in 2016 niet inging op een vraag van de Amerikaanse FBI om een iPhone te ontgrendelen in het kader van een onderzoek naar de massamoord in San Bernardino, Californië, een jaar daarvoor. Maar de FBI trok zich uiteindelijk terug uit de juridische strijd toen het een Australisch cyberbeveiligingsbedrijf vond dat de iPhone 5 kon ontgrendelen zonder enige hulp van Apple.
Apple versus Android
Voor alle duidelijkheid: Pegasus kan ook het besturingssysteem van Googles Android-smartphones aanvallen. Maar daarvan vonden we in het Pegasus Project minder sporen, eenvoudigweg omdat Android-toestellen moeilijker te analyseren zijn met de forensische methode die Amnesty International Security Lab gebruikt. Drie van de Androids die Amnesty analyseerde, vertoonden wel sporen van een poging tot hacking met Pegasus.
Google-woordvoerster Kaylin Trychon reageert aan The Washington Post dat Google een dreigingsanalyseteam heeft dat NSO Group en andere dreigingsactoren volgt, en dat het bedrijf elke maand meer dan 4000 waarschuwingen naar gebruikers stuurt over pogingen tot infiltratie door aanvallers – met inbegrip van hacking door overheden. Dat Android minder logs ter beschikking stelt die door IT-onderzoekers gebruikt kunnen worden om infecties op te sporen, komt volgens Trychon omdat die logs ook door hackers misbruikt kunnen worden.
Een rechtstreekse vergelijking van de beveiliging van de besturingssystemen van Apple en Google en de apparaten waarop ze draaien is niet mogelijk, maar het aantal meldingen van inbraken op iPhones is de afgelopen jaren wel toegenomen. Beveiligingsonderzoekers vonden aanwijzingen dat aanvallers kwetsbaarheden hebben uitgebuit in veelgebruikte iPhone-apps als iMessage, Apple Music, Apple Photos, FaceTime en de Safari-browser.
De technische analyse door Amnesty vond ook indicaties dat klanten van NSO gebruikmaken van commerciële internetservicebedrijven, waaronder Amazon Web Services, om Pegasus-malware af te leveren op smartphones. ‘Toen we van deze activiteit hoorden, hebben we snel gehandeld om de relevante infrastructuur en accounts af te sluiten’, reageert Kristin Brown, een woordvoerster van Amazon Web Services.
NSO Group reageert op het Pegasus Project
Op zondag reageerde Shalev Hulio, de ceo van NSO Group, aan The Washington Post dat hij ontdaan was over de vaststelling van het onderzoek dat telefoons van journalisten, mensenrechtenactivisten en ambtenaren het doelwit van de Pegasus-spyware van zijn bedrijf waren geweest – hoewel hij andere aantijgingen uit de artikelenreeks betwistte. Hulio beloofde een onderzoek. ‘Elke beschuldiging van misbruik van het systeem baart me zorgen’, aldus Hulio. ‘Het schendt het vertrouwen dat we de klant geven.’
Dit artikel is een vertaalde en bewerkte versie van een nieuwsstuk uit The Washington Post.
Het Pegasus Project
Fout opgemerkt of meer nieuws? Meld het hier