Dokumente aus einem Gerichtsverfahren zwischen der NSO Gruppe und WhatsApp erlauben einen Blick hinter die Kulissen.
Die israelische NSO Group ist seit Jahren immer wieder in den Schlagzeilen, weil ihre Software „Pegasus“ in Ermittlungen private Daten von Verdächtigen ohne deren Wissen von ihren Geräten abzieht. Der Spyware-Hersteller hat jetzt in einem Gerichtsverfahren gegen WhatsApp zugegeben, dass mindestens zehn Kunden der Zugang wegen Missbrauchs gesperrt werden musste.
Laut Gerichtsdokumenten, die am Donnerstag von einem kalifornischen Gericht offengelegt wurden, hat das israelische Unternehmen die Server-Infrastruktur des Nachrichtendienstes genutzt, um über diverse Angriffsvektoren Geräte zu kompromittieren. WhatsApp selbst bestreitet ein aktives Mitwirken an der Arbeit der NSO Group und gibt an, es wären wiederholt „bekannte Accounts von NSO [deaktiviert worden]“.
Heaven, Eden und die Daten auf WhatsApp-Servern
Laut Aussage des NSO Mitarbeiters Hr. Gazneli habe NSO über WhatsApp Server Zugriff auf Daten gehabt, auf die „ein regulärer Nutzer über die WhatsApp-Client-App nicht erlangen konnte“. Über die Natur dieser Daten gibt es in den Gerichtsdokumenten leider keine Auskunft.
WhatsApp war zumindest zum Teil über die Existenz dieser Angriffe informiert und hat sie nach ihren Möglichkeiten unterbunden. So wurde 2018 der „Heaven“ Angriffsvektor geschlossen und im darauffolgenden Jahr die in „Eden“ ausgenutzte Lücke geschlossen. Damit hat WhatsApp die einzige „0 Klick Android-Lösung“ eliminiert und Nutzer so vor einer Komplett-Übernahme ihres Systems bewahrt.
Durch das ständige Katz-und-Maus-Spiel mit der israelischen Firma seien WhatsApp zusätzlich Schäden von über 5000 US-Dollar entstanden. (Die exakte Summe ist leider nicht Teil der Gerichtsdokumente, WhatsApp schreibt aber davon, dass seine Mitarbeiter „unermüdlich“ daran gearbeitet hätten, die Exploits zu untersuchen und die Lücken zu schließen.)
WhatsApp: „Die Identität der Kunden ist keine Verteidigung“
Eine interessante Verteidigung der NSO Gruppe war, dass man, da man im Auftrag von staatlichen Akteuren handele, diese Aktionen legal seien. WhatsApp hielt dagegen, dass, auch wenn die Kunden Nationalstaaten seien, dies mitnichten den Zugriff auf Server in Drittländern – wie die von WhatsApp – erlaube.
Während des Prozesses wurde die Identität der Kunden, mit Ausnahme des FBIs, nicht offengelegt. Sehr wohl wurde jedoch der Preis für die Nutzung der Chat-Angriffe offengelegt: bis zu 6,8 Millionen Dollar, für eine Lizenz für ein Jahr. Alleine diese Vektoren haben im Jahr 2019 31 Millionen Dollar generiert. Laut dem Spyware-Hersteller wurde das Tool wohl auch gegen Prinzessin Haya eingesetzt, was nahelegt, dass der Emir von Dubai ein Kunde ist. Ob er eine WhatsApp-Lizenz hat oder hatte, ist jedoch nicht bekannt.
NSO Gruppe weiß wohl mehr als lange zugegeben
Frei nach „Wir liefern Senf und wir liefern Gas, was wissen wir, was der Empfänger damit macht“, hat die NSO Gruppe immer alle Schuld von sich gewiesen. Im Rahmen des Verfahrens wurde nun aber von einem Mitarbeiter ausgesagt, dass es ein simpler Knopfdruck ist und die NSO daraufhin entscheidet, welche Exploits zum Einsatz kommen. Gegenüber TechCrunch wurde die Stellungnahme zurückgewiesen und man zeigte sich zuversichtlich, dass die Anschuldigungen sich vor Gericht als falsch herausstellen würden.
