NSO-Group für WhatsApp-Angriff mit Pegasus-Spyware schuldig gesprochen

Paragraph[English]Im Jahr 2019 wurden WhatsApp-Nutzer Opfer eines Angriffs durch Spyware, die über eine Schwachstelle auf Android und iOS-Geräte installiert werden konnte. WhatsApp verklagte die NSO Group, die den Exploit entwickelt und verkauft haben. Jetzt ist ein Urteil, welches einen großen juristischen Erfolg für Opfer darstellt, die durch auf ihren Geräten installierte Spyware Pegasus der (israelischen) NSO Group per WhatsApp überwacht wurden, gefallen. Die NSO Group wurde schuldig gesprochen.

Rückblick auf den NSO Group WhatsApp-Exploit

In WhatsApp existierte die kritische Schwachstelle CVE-2019-3568. Im WhatsApp VOIP Stack konnte ein Buffer Overflow durch ein speziellen SRTCP-Paket zu einer Remote Code-Ausführung führen. Die Schwachstelle wurde als kritisch eingestuft, weil Angreifer die Schwachstelle ausnutzten.

Angreifer konnten heimlich über die Schwachstelle Spyware auf den Mobilgeräten der Opfer installieren. Es reicht dafür ein gezielter WhatsApp-Anruf auf einem Android-Handy oder iPhone. Der WhatsApp-Anruf musste nicht mal vom Opfer angenommen werden. Das Opfer konnte den Angriff nicht einmal nachvollziehen, da die Spyware die Informationen über eingehende Anrufe aus den Protokollen löscht, um heimlich zu arbeiten.

Der WhatsApp-Exploit wurde von der israelischen NSO Group, die mobile Spyware erstellt, entdeckt und dann verkauft. Die NSO Group Technologies ist ein israelisches Technologieunternehmen, welches die Spyware Pegasus anbietet, welche die Fernüberwachung von Smartphones (Android, iOS etc.) ermöglicht. Der Trojaner ist binnen Sekunden unbemerkt auf den Geräten installierbar, um Telefonate, SMS, E-Mails und sogar verschlüsselte Chats zu überwachen sowie auf Mikrofon und Kamera zuzugreifen.

Über den oben erwähnten WhatsApp-Exploit wurde die Pegasus-Spyware auf Android- und iOS-Geräten installiert. Die Spyware ermöglicht dem Angreifer ohne Wissen und Kontrolle des Opfers auf eine unglaubliche Menge an Daten auf den Geräten der Opfer remote zuzugreifen. Das schloss Textnachrichten, E-Mails, WhatsApp-Nachrichten, Kontaktdaten, Anrufaufzeichnung, Standortdaten, sowie die Daten von Mikrofon und Kamera ein.

Obwohl die genaue Anzahl der zielgerichtet angegriffenen WhatsApp-Benutzer noch unbekannt ist, gaben die WhatsApp-Entwickler an, dass nur eine „ausgewählte Anzahl“ von Benutzern von der Spyware der NSO Group mit dieser Schwachstelle angegriffen wurde. In der nachfolgenden Klage ist von 1.400 Opfern die Rede.

Citizen Lab, eine Überwachungsgruppe an der University of Toronto, die die Aktivitäten der NSO Group untersucht, glaubt, dass die Schwachstelle genutzt wurde, um einen britischen Menschenrechtsanwalt anzugreifen. Die Schwachstelle wurde  von WhatsApp durch ein Update von WhatsApp-Anwendungen geschlossen. Ich hatte im Blog-Beitrag WhatsApp Schwachstelle CVE-2019-3568: Update erforderlich berichtet.

Klage von WhatsApp gegen die NSO Group hat Erfolg

WhatsApp verklagte in Folge dieses Vorfalls dann die NSO Group (Klage am 29. Oktober 2019 eingereicht), da diese einen Exploit entwickelt und verkauft hatte. Die NSO Group versuchte 5 Jahre lang ein Urteil in diesem Fall zu verhindern.

NSO-Group für Spyware schuldig gesprochen

Gemäß obigem Tweet wurde die NSO Group jetzt am 20. Dezember 2024 von einem US-Gericht in diesem Verfahren schuldig gesprochen. John Scott-Railton, der wohl auch für Citizen Lab tätig war, hat das Ganze in einer Reihe von Tweets (siehe obigen verlinkten Tweet) aufbereitet.

In einer weiteren Folge von Tweets arbeitet Natalia Krapiva, eine Anwältin das Urteil auf. NSO wurde nach Bundes- und Landesrecht für das Hacken der WhatsApp-Server durch Pegasus verantwortlich gemacht. Das Gericht entschied, dass NSO gegen das Gesetz über Computerbetrug und -missbrauch verstoßen hat, indem es Nachrichten über WhatsApp-Server verschickt hat, um Nutzer mit Pegasus zu hacken.

NSO argumentierte zwar, dass sie aufgrund der Tatsache, dass sie WhatsApp-Konten besaßen, berechtigt waren, diese nach Belieben zu nutzen (einschließlich Hacking). Das Gericht hat das aber nicht als Argument akzeptiert und zurückgewiesen.

Das Gericht stellte fest, dass NSO gegen den CDAFA California Comprehensive Computer Data Access and Fraud Act verstoßen hat. Das Gericht entschied zudem, dass NSO den Vertrag mit WhatsApp durch die Verletzung der Nutzungsbedingungen gebrochen hat. Die Nutzungsbedingungen von WhatsApp verbieten unter anderem das Versenden von Schadcode, das Sammeln von Nutzerdaten und die Nutzung der App für illegale Zwecke.

Nachdem das Gericht NSO für den Hack als haftbar befunden hat, muss in der  nächsten Verhandlung nur noch über den von der NSO Group an WhatsApp zu zahlenden Schadenersatz entschieden werden. Der Geschworenenprozess WhatsApp gegen NSO soll am 3. März 2025 um 8:30 Uhr in Oakland, CA, beginnen.

Das Urteil dürfte auch auf die Klagen von Opfern dieses Spyware-Angriffs einen großen Einfluss haben. The Record Media fasst in diesem Artikel das Urteil ebenfalls zusammen.

Ähnliche Artikel
Sicherheitsupdates für macOS, iOS/iPadOS schließen zwei 0-Days der NSO-Group (Pegasus Spyware)
Pegasus-Spionagesoftware der NSO-Group auf vielen Smartphones
Pegasus-Spyware auf französischen Handys entdeckt, Zeus-App erkennt Pegasus
Analyse-Tool gegen die Pegasus-Spyware aus der Schweiz
NSO-Spyware Pegasus auf Smartphones französischer Journalisten gefunden
NSO-Gruppe (Pegasus Spyware) in der Krise – Entlassungen

Dieser Beitrag wurde unter Allgemein, Sicherheit veröffentlicht. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu NSO-Group für WhatsApp-Angriff mit Pegasus-Spyware schuldig gesprochen

  1. Anonymous sagt:

    Und unsere Behörden kaufen fleissig Palantir..l

  2. michael sagt:

    Wenn wir schon beim Thema sind:

    https://bigbrotherawards.de/2024

    Es wird technisch schlicht ALLES gemacht, was möglich ist. Grundgesetz, Menschenrechte sind vollends irrelevant.

  3. Christian Krause sagt:

    Ich dachte, das Android Sicherheitsmodell schließt aus, dass eine Anwendung Zugriff auf Daten anderer Apps hat.
    Wie also konnte die Schadsoftware Anrufe überwachen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert