[English]Im Jahr 2019 wurden WhatsApp-Nutzer Opfer eines Angriffs durch Spyware, die über eine Schwachstelle auf Android und iOS-Geräte installiert werden konnte. WhatsApp verklagte die NSO Group, die den Exploit entwickelt und verkauft haben. Jetzt ist ein Urteil, welches einen großen juristischen Erfolg für Opfer darstellt, die durch auf ihren Geräten installierte Spyware Pegasus der (israelischen) NSO Group per WhatsApp überwacht wurden, gefallen. Die NSO Group wurde schuldig gesprochen.
Rückblick auf den NSO Group WhatsApp-Exploit
In WhatsApp existierte die kritische Schwachstelle CVE-2019-3568. Im WhatsApp VOIP Stack konnte ein Buffer Overflow durch ein speziellen SRTCP-Paket zu einer Remote Code-Ausführung führen. Die Schwachstelle wurde als kritisch eingestuft, weil Angreifer die Schwachstelle ausnutzten.
Angreifer konnten heimlich über die Schwachstelle Spyware auf den Mobilgeräten der Opfer installieren. Es reicht dafür ein gezielter WhatsApp-Anruf auf einem Android-Handy oder iPhone. Der WhatsApp-Anruf musste nicht mal vom Opfer angenommen werden. Das Opfer konnte den Angriff nicht einmal nachvollziehen, da die Spyware die Informationen über eingehende Anrufe aus den Protokollen löscht, um heimlich zu arbeiten.
Der WhatsApp-Exploit wurde von der israelischen NSO Group, die mobile Spyware erstellt, entdeckt und dann verkauft. Die NSO Group Technologies ist ein israelisches Technologieunternehmen, welches die Spyware Pegasus anbietet, welche die Fernüberwachung von Smartphones (Android, iOS etc.) ermöglicht. Der Trojaner ist binnen Sekunden unbemerkt auf den Geräten installierbar, um Telefonate, SMS, E-Mails und sogar verschlüsselte Chats zu überwachen sowie auf Mikrofon und Kamera zuzugreifen.
Über den oben erwähnten WhatsApp-Exploit wurde die Pegasus-Spyware auf Android- und iOS-Geräten installiert. Die Spyware ermöglicht dem Angreifer ohne Wissen und Kontrolle des Opfers auf eine unglaubliche Menge an Daten auf den Geräten der Opfer remote zuzugreifen. Das schloss Textnachrichten, E-Mails, WhatsApp-Nachrichten, Kontaktdaten, Anrufaufzeichnung, Standortdaten, sowie die Daten von Mikrofon und Kamera ein.
Obwohl die genaue Anzahl der zielgerichtet angegriffenen WhatsApp-Benutzer noch unbekannt ist, gaben die WhatsApp-Entwickler an, dass nur eine „ausgewählte Anzahl“ von Benutzern von der Spyware der NSO Group mit dieser Schwachstelle angegriffen wurde. In der nachfolgenden Klage ist von 1.400 Opfern die Rede.
Citizen Lab, eine Überwachungsgruppe an der University of Toronto, die die Aktivitäten der NSO Group untersucht, glaubt, dass die Schwachstelle genutzt wurde, um einen britischen Menschenrechtsanwalt anzugreifen. Die Schwachstelle wurde von WhatsApp durch ein Update von WhatsApp-Anwendungen geschlossen. Ich hatte im Blog-Beitrag WhatsApp Schwachstelle CVE-2019-3568: Update erforderlich berichtet.
Klage von WhatsApp gegen die NSO Group hat Erfolg
WhatsApp verklagte in Folge dieses Vorfalls dann die NSO Group (Klage am 29. Oktober 2019 eingereicht), da diese einen Exploit entwickelt und verkauft hatte. Die NSO Group versuchte 5 Jahre lang ein Urteil in diesem Fall zu verhindern.
Gemäß obigem Tweet wurde die NSO Group jetzt am 20. Dezember 2024 von einem US-Gericht in diesem Verfahren schuldig gesprochen. John Scott-Railton, der wohl auch für Citizen Lab tätig war, hat das Ganze in einer Reihe von Tweets (siehe obigen verlinkten Tweet) aufbereitet.
In einer weiteren Folge von Tweets arbeitet Natalia Krapiva, eine Anwältin das Urteil auf. NSO wurde nach Bundes- und Landesrecht für das Hacken der WhatsApp-Server durch Pegasus verantwortlich gemacht. Das Gericht entschied, dass NSO gegen das Gesetz über Computerbetrug und -missbrauch verstoßen hat, indem es Nachrichten über WhatsApp-Server verschickt hat, um Nutzer mit Pegasus zu hacken.
NSO argumentierte zwar, dass sie aufgrund der Tatsache, dass sie WhatsApp-Konten besaßen, berechtigt waren, diese nach Belieben zu nutzen (einschließlich Hacking). Das Gericht hat das aber nicht als Argument akzeptiert und zurückgewiesen.
Das Gericht stellte fest, dass NSO gegen den CDAFA California Comprehensive Computer Data Access and Fraud Act verstoßen hat. Das Gericht entschied zudem, dass NSO den Vertrag mit WhatsApp durch die Verletzung der Nutzungsbedingungen gebrochen hat. Die Nutzungsbedingungen von WhatsApp verbieten unter anderem das Versenden von Schadcode, das Sammeln von Nutzerdaten und die Nutzung der App für illegale Zwecke.
Nachdem das Gericht NSO für den Hack als haftbar befunden hat, muss in der nächsten Verhandlung nur noch über den von der NSO Group an WhatsApp zu zahlenden Schadenersatz entschieden werden. Der Geschworenenprozess WhatsApp gegen NSO soll am 3. März 2025 um 8:30 Uhr in Oakland, CA, beginnen.
Das Urteil dürfte auch auf die Klagen von Opfern dieses Spyware-Angriffs einen großen Einfluss haben. The Record Media fasst in diesem Artikel das Urteil ebenfalls zusammen.
Ähnliche Artikel
Sicherheitsupdates für macOS, iOS/iPadOS schließen zwei 0-Days der NSO-Group (Pegasus Spyware)
Pegasus-Spionagesoftware der NSO-Group auf vielen Smartphones
Pegasus-Spyware auf französischen Handys entdeckt, Zeus-App erkennt Pegasus
Analyse-Tool gegen die Pegasus-Spyware aus der Schweiz
NSO-Spyware Pegasus auf Smartphones französischer Journalisten gefunden
NSO-Gruppe (Pegasus Spyware) in der Krise – Entlassungen
Und unsere Behörden kaufen fleissig Palantir..l
Unsere Behörden haben den tollen Bundestrojaner und würden alles daran geben,
jedem Bürger solche Spyware unterzujubeln.
brauchen sie doch bald gar nicht mehr ;-P ePA Bürger ID usw. da braucht es keinen Trojaner mehr die Bürger liefern alles frei haus. Jubelnd sogar.
Wie sollen sie es denn verhindern?
Bargeld verwenden, ePA widersprechen, Wahlkabine nutzen…
Einfache aber 100% zutreffende Antwort!
Wenn wir schon beim Thema sind:
https://bigbrotherawards.de/2024
Es wird technisch schlicht ALLES gemacht, was möglich ist. Grundgesetz, Menschenrechte sind vollends irrelevant.
Ich dachte, das Android Sicherheitsmodell schließt aus, dass eine Anwendung Zugriff auf Daten anderer Apps hat.
Wie also konnte die Schadsoftware Anrufe überwachen?
Falsch gedacht, alles ist möglich mit entspr. Lücken/Backdoors/usw., einfach alles, natürlich auch bei Apple.