Israelisch entwickelte Spyware, insbesondere die Pegasus-Software der NSO Group, wurde genutzt, um WhatsApp-Konten über sogenannte Zero-Click-Schwachstellen zu infiltrieren. Untersuchungen von Organisationen wie Citizen Lab belegen, dass diese Angriffe den Zugriff auf Nachrichten und Anruflisten ermöglichen, ohne dass Nutzer eine verdächtige Aktion ausführen müssen.
Wie funktionieren Zero-Click-Angriffe auf WhatsApp?
Die Angriffe nutzen Sicherheitslücken in der Art und Weise aus, wie WhatsApp eingehende Daten verarbeitet. Im Gegensatz zu herkömmlichen Methoden müssen Betroffene keinen Link anklicken oder eine Datei herunterladen. Laut Citizen Lab reicht oft ein gezielter Anruf, der nicht einmal entgegengenommen werden muss, um den Schadcode zu aktivieren. Die Software nutzt die automatische Verarbeitung von Anrufdaten oder Mediennachrichten, um tief in das Betriebssystem des Smartphones einzudringen. Sobald die Infiltration erfolgt ist, können Angreifer auf private Nachrichten, Kontakte und Standortdaten zugreifen.
Technisch gesehen zielen diese Angriffe häufig auf die sogenannte „Attack Surface“ (Angriffsfläche) ab, die durch die Verarbeitung von Multimedia-Daten entsteht. Wenn eine Anwendung wie WhatsApp eingehende Signale für VoIP-Anrufe (Voice over IP) oder Bilddateien empfängt, muss das Betriebssystem diese Daten vorverarbeiten, um sie dem Nutzer anzeigen zu können. Zero-Click-Exploits nutzen Schwachstellen in diesen Vorverarbeitungsprozessen aus, wie etwa Speicherfehler (Buffer Overflows). Ein Angreifer sendet dabei speziell manipulierte Datenpakete, die den Programmablauf stören und es ermöglichen, bösartigen Code direkt im Arbeitsspeicher des Geräts auszuführen. Da dieser Prozess im Hintergrund stattfindet, bevor die App eine Benachrichtigung generiert, bleibt der Angriff für den Anwender unsichtbar.
Die NSO Group und die Zielgruppen der Software
Die israelische Firma NSO Group ist der Entwickler von Pegasus. Das Unternehmen gibt an, seine Technologie ausschließlich an staatliche Behörden zu verkaufen, um die Bekämpfung von Terrorismus und schwerer Kriminalität zu unterstützen. Berichte von Amnesty International zeichnen jedoch ein anderes Bild. Die Untersuchungen der Organisation zeigen, dass die Software vermehrt gegen zivile Akteure eingesetzt wurde. Zu den dokumentierten Opfern gehören Journalisten, Menschenrechtsaktivisten und politische Gegner. Dieser Gegensatz zwischen dem offiziellen Verwendungszweck und den tatsächlichen Einsatzgebieten steht im Zentrum internationaler Debatten über die Regulierung von Überwachungstechnologie.
Die Problematik der NSO Group ist Teil einer größeren Debatte über den Markt für „Surveillance-for-Hire“ (Überwachungsdienstleister). Da diese Technologien als Dual-Use-Güter eingestuft werden können – also sowohl für legitime Sicherheitszwecke als auch für die Unterdrückung politischer Opposition genutzt werden können –, ist ihre Kontrolle international schwierig. Die Auswirkungen der Pegasus-Enthüllungen führten zu weitreichenden politischen Konsequenzen. So setzte das US-Handelsministerium die NSO Group im Jahr 2021 auf die sogenannte „Entity List“. Diese Entscheidung schränkt den Zugang des Unternehmens zu US-Technologie und Software erheblich ein, da die Behörden den Einsatz der Software als Gefahr für die nationale Sicherheit und die internationale Stabilität eingestuft haben.
Rechtliche Konsequenzen und die Reaktion von Meta
Meta, das Mutterunternehmen von WhatsApp, hat auf die Bedrohung reagiert, indem es Sicherheitslücken meldet und technische Patches bereitstellt. Das Unternehmen hat zudem rechtliche Schritte gegen die NSO Group eingeleitet, um die Entwicklung und den Einsatz solcher Tools auf seinen Plattformen zu unterbinden. Die Klagen zielen darauf ab, die Verwendung von Zero-Click-Exploits gegen die Infrastruktur von Meta zu stoppen.
Die juristische Auseinandersetzung zwischen Meta und der NSO Group wurde vor US-Bundesgerichten geführt. Meta argumentiert, dass die NSO Group gezielt die Infrastruktur und die Dienste von WhatsApp missbraucht hat, um Schadsoftware zu verbreiten, was einen direkten Angriff auf das Geschäftsmodell und die Sicherheit der Nutzer darstellt. Dieser Rechtsstreit hat weitreichende Bedeutung für die gesamte Branche der Cyber-Sicherheit. Er stellt die Frage, inwieweit private Technologieunternehmen rechtlich gegen staatlich sanktionierte Akteure vorgehen können, die ihre Plattformen als Vehikel für Spionage nutzen. Durch die Klage versucht Meta, einen Präzedenzfall zu schaffen, der die Haftung von Softwareentwicklern erhöht, wenn deren Werkzeuge zur gezielten Infiltration privater Kommunikationswege missbraucht werden.
