WhatsApp treibt die Preise für Staatstrojaner hoch
Von Erich Moechel
Die Dominanz der Facebook-Tochter WhatsApp mit ihren rund 1,5 Millarden Benutzern schlägt sich nun auch in den Preisen für entsprechende Schadsoftware nieder. Sogenannte „Exploits“, die für die Überwachung von WhatsApp-Chats nötig sind, sind inzwischen die teuerste Kategorie auf dem Grauen Markt. Für Exploits, wie sie die NSO Group verwendet hatte, um die Sicherheitsmechanismen von WhatsApp auszuheben, werden bis nun zu 2,5 Millionen Dollar fällig.
Angetrieben werden die Preise durch den zunehmenden Einsatz von staatlicher Trojaner-Schadsoftware zur Überwachung verschlüsselter Kommunikation. Die Kunden einschlägiger Börѕen wie Zerodium sind Geheimdienste und Strafverfolger, die laufend neue Exploits benötigen, um ihre Überwachungstrojaner auf die Smartphones ihrer Ziele zu schmuggeln. Im Fokus aller aber stehen die verschlüsselten WhatsApp-Chats.
zerodium.com
Bei den Summen links handelt es sich um Ankaufspreise der Zerodium-Broker. Rot sind iOS Betriebssteme sowie Apps, beide ist Android. Blau sind Exploits für beide Betriebssysteme. Wie man sieht, sind Exploits für WhatsApp doppelt so teuer, wie solche für die konkurrierenden Messenger Telegram oder Signal.
Android führt in den Malware-Charts
Die aktuelle Klage des Facebook-Konzerns gegen die Staatstrojanerfirm NSO richtet sich gegen alle Firmen an, die Überwachungsdienstleistungen mit Schadsoftware als Service für Polizeibehörden und Geheimdienste anbieten.
Wie aus dieser Liste der Einkaufspreise von Zerodium hervorgeht, haben hochklassige Exploits für die Android-Plattform inzwischen jene für Apple iOS überholt. Seit September führt ein Exploit für das gesamte Android-System diese Charts mit 2,5 Millionen Euro an, damit ist WhatsApp natürlich inbegriffen. Dasselbe gilt für den iOS-Exploit, der an zweiter Stelle liegt und Zugriffe auf sämtliche Apps ermöglicht. Dahinter folgt schon der erste Exploit für eine singuläre Applikation, nämlich WhatsApp mit 1,5 Millionen Dollar.
Davor war Schadsoftware für Apple-Systeme jahrelang am teuersten gewesen, bis ab Frühjahr eine Serie sogenannter „Zero Days“ („0days“) für Apples Safari-Browser und iMessaging zu Tage kam. Das heißt, Sicherheitsforscher hatten eine Reihe von Exploits entdeckt, die bis dahin unbekannte Sicherheitslücken in den Systemen Apples ausnützten. Deswegen heißen sie auch „Zero Day“-Exploits: Null Tage bekannt.
Unsicherheitsforscher, Sicherheitslücken
In Österreich hatten ÖVP und FPÖ das davor gescheiterte Gesetz zum Einsatz von Staatstrojanern im Februar 2018 verabschiedet.
Einzelnen Unsicherheitsforschern, die den Grauen Markt für staatliche Akteure entweder direkt oder über Plattformen wie Zerodium mit solcher Angriffssoftware versorgen, war diese Möglichkeit allerdings schon davor bekannt. Die Sicherheitslücke in den WhatsApp-Übertragungsprotokollen, die von der israelischen Staatstrojaner-Firma NSO praktisch am Fließband zur Überwachung von Smartphones ausgenützt wurde, stand bis zu ihrer Entdeckung im Mai drei Jahre lang offen. In diesem Zeitfenster hatte ein Exploit dafür einen Marktwert von mindestens 1,5 Millionen Dollar.
NSO Pegasus Prospekt
Aus einem geleakten Prospekt der NSO Group über die technischen Fähigkeiten ihres Trojaners. Wie man sieht, kann der Trojaner so ziemlich alle wichtigen Funktionen eines Smartphones vollständig ausspionieren. Dazu benötigt der NSO-Trojaner allerdings einen aktuellen Exploit für das jeweilige Betriebssystem, um die Überwachungssoftware auf das Gerät zu schmuggeln. Zuletzt wurden über 100 neue Fälle aufgedeckt, bei denen Aktivisten für Pressefreiheit und Demokratie, Anwälte und Journalisten in 20 Staaten überwacht wurden.
Ob die NSO den betreffenden Exploit nun selbst entdeckt oder zugekauft hatte, so wurde jedenfalls ein Vielfaches der obigen Summe daran verdient. Die Firma hatte damit nämlich eine automatisierte Dienstleistung generiert, die man im Cloud-Zeitalter mit „Infection as a Service“ umschreiben könnte. Der im Mai entdeckte Exploit wurde in die bekannte und berüchtigte „Pegasus“-Trojanersuite der israelischen Firma integriert.
„Zero Day, Zero Click“
Im Sommer 2016 wurde der Menschenrechtsaktivist Ahmed Mansoor aus den Vereinten Arabischen Emiraten mit Trojanern von NSO angegriffen
Ein Videoanruf bei der Zielperson genügte und deren Smartphone war schon infiziert, ohne dass der Anruf überhaupt zustande kam. Das ist die teuerste Kategorie von 0days, genannt „zero click“, weil keine Interaktionen des Angegriffenen nötig ist. Erbracht wurde diese Dienstleistung wie am Fließband, insgesamt wurden von der NSO laut WhatsApp über 1.400 Smartphones infiziert, die Verbreitung der Schadsoftware fand über die regulären WhatsApp-Protokolle statt.
Hier setzt die Klage des Facebook-Konzerns gegen die NSO-Group an, die von systematischen Verstößen gegen die Geschäftsbedingung und über Betrug letztlich auf schwere gewerbsmäßige Geschäftsschädigung hinausläuft. Bei einem internationalen Großkonzern wie Facebook ist da ein Streitwert im zwei- bis dreistelligen Millionenbereich zu erwarten. Und dabei wird es mit einiger Sicherheit nicht bleiben, denn auch Zerodium kauft 0days, die alleine auf WhatsApp abzielen.
Guy Brenner LinkedIn
Parallel zur Einreichung der Klage hatte Facebook alle Konten der Firma NSO und ihrer Angestellten konzernweit gesperrt. Und so reagierte der NSO-Manager, der Geheimdienste repressiver Staaten wie Saudi Arabien darauf trainiert, Aktivisten für Demokratie und Menschenrechte, Oppositionelle, Anwälte usw. effizient zu überwachen. Der Journalist Jamal Kashoggi wurde in Folge von Geheimdienstmitarbeitern bestialisch ermordet, der Menschenrechtsaktivist Ahmed Mansoor aus den Vereinten Emiraten bekam zehn Jahre Haft.
Vorläufiges Fazit
Die Klage des Facebook-Konzerns gegen die Staatstrojanerfirma NSO bringt die gesamte weltweite Branche, die sich jahrelang ungestört entfalten konnte, erstmals unter Druck. Seit Mai geht Facebook-Konzern auch konsequent gegen die organisierte Desinformationsbranche vor, zigtausende gefälschte Konten dubioser PR-Firmen wurden seіtdem rund um den Globus deaktiviert. All die Jahre davor hatte Facebook diese Kampagnen eher als Umsatzbringer angesehen und genau nichts dagegen unternommen. Nun hat die Facebook-Führung angesichts der immer lauter werdenden Forderung nach Zerschlagung offenbar erkannt, dass das gegenwärtige Image von Facebook als Bedrohung für die Demokratie den Konzern trotz seiner Profitabilät in Richtung Abgrund führen wird.
Es gibt wieder einen RSS-Feed für diesen Blog, einfach so gebaut von einem Leser, der keinen Artikel verpassen will. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 06.11.2019
