WhatsApp treibt die Preise für Staatstrojaner hoch

Im Herbst hatte die Nachfrage nach Schadsoftware für das Betriebssystem Android - und da vor allem WhatsApp - Apples iOS erstmals überholt. Die Einkaufspreisen für solche Exploits sind inzwischen in lichte Höhen gestiegen.

Von Erich Moechel

Die Dominanz der Facebook-Tochter WhatsApp mit ihren rund 1,5 Millarden Benutzern schlägt sich nun auch in den Preisen für entsprechende Schadsoftware nieder. Sogenannte „Exploits“, die für die Überwachung von WhatsApp-Chats nötig sind, sind inzwischen die teuerste Kategorie auf dem Grauen Markt. Für Exploits, wie sie die NSO Group verwendet hatte, um die Sicherheitsmechanismen von WhatsApp auszuheben, werden bis nun zu 2,5 Millionen Dollar fällig.

Angetrieben werden die Preise durch den zunehmenden Einsatz von staatlicher Trojaner-Schadsoftware zur Überwachung verschlüsselter Kommunikation. Die Kunden einschlägiger Börѕen wie Zerodium sind Geheimdienste und Strafverfolger, die laufend neue Exploits benötigen, um ihre Überwachungstrojaner auf die Smartphones ihrer Ziele zu schmuggeln. Im Fokus aller aber stehen die verschlüsselten WhatsApp-Chats.

zerodium.com

Android führt in den Malware-Charts

Die aktuelle Klage des Facebook-Konzerns gegen die Staatstrojanerfirm NSO richtet sich gegen alle Firmen an, die Überwachungsdienstleistungen mit Schadsoftware als Service für Polizeibehörden und Geheimdienste anbieten.

Wie aus dieser Liste der Einkaufspreise von Zerodium hervorgeht, haben hochklassige Exploits für die Android-Plattform inzwischen jene für Apple iOS überholt. Seit September führt ein Exploit für das gesamte Android-System diese Charts mit 2,5 Millionen Euro an, damit ist WhatsApp natürlich inbegriffen. Dasselbe gilt für den iOS-Exploit, der an zweiter Stelle liegt und Zugriffe auf sämtliche Apps ermöglicht. Dahinter folgt schon der erste Exploit für eine singuläre Applikation, nämlich WhatsApp mit 1,5 Millionen Dollar.

Davor war Schadsoftware für Apple-Systeme jahrelang am teuersten gewesen, bis ab Frühjahr eine Serie sogenannter „Zero Days“ („0days“) für Apples Safari-Browser und iMessaging zu Tage kam. Das heißt, Sicherheitsforscher hatten eine Reihe von Exploits entdeckt, die bis dahin unbekannte Sicherheitslücken in den Systemen Apples ausnützten. Deswegen heißen sie auch „Zero Day“-Exploits: Null Tage bekannt.

Unsicherheitsforscher, Sicherheitslücken

In Österreich hatten ÖVP und FPÖ das davor gescheiterte Gesetz zum Einsatz von Staatstrojanern im Februar 2018 verabschiedet.

Einzelnen Unsicherheitsforschern, die den Grauen Markt für staatliche Akteure entweder direkt oder über Plattformen wie Zerodium mit solcher Angriffssoftware versorgen, war diese Möglichkeit allerdings schon davor bekannt. Die Sicherheitslücke in den WhatsApp-Übertragungsprotokollen, die von der israelischen Staatstrojaner-Firma NSO praktisch am Fließband zur Überwachung von Smartphones ausgenützt wurde, stand bis zu ihrer Entdeckung im Mai drei Jahre lang offen. In diesem Zeitfenster hatte ein Exploit dafür einen Marktwert von mindestens 1,5 Millionen Dollar.

NSO Pegasus Prospekt

Ob die NSO den betreffenden Exploit nun selbst entdeckt oder zugekauft hatte, so wurde jedenfalls ein Vielfaches der obigen Summe daran verdient. Die Firma hatte damit nämlich eine automatisierte Dienstleistung generiert, die man im Cloud-Zeitalter mit „Infection as a Service“ umschreiben könnte. Der im Mai entdeckte Exploit wurde in die bekannte und berüchtigte „Pegasus“-Trojanersuite der israelischen Firma integriert.

„Zero Day, Zero Click“

Im Sommer 2016 wurde der Menschenrechtsaktivist Ahmed Mansoor aus den Vereinten Arabischen Emiraten mit Trojanern von NSO angegriffen

Ein Videoanruf bei der Zielperson genügte und deren Smartphone war schon infiziert, ohne dass der Anruf überhaupt zustande kam. Das ist die teuerste Kategorie von 0days, genannt „zero click“, weil keine Interaktionen des Angegriffenen nötig ist. Erbracht wurde diese Dienstleistung wie am Fließband, insgesamt wurden von der NSO laut WhatsApp über 1.400 Smartphones infiziert, die Verbreitung der Schadsoftware fand über die regulären WhatsApp-Protokolle statt.

Hier setzt die Klage des Facebook-Konzerns gegen die NSO-Group an, die von systematischen Verstößen gegen die Geschäftsbedingung und über Betrug letztlich auf schwere gewerbsmäßige Geschäftsschädigung hinausläuft. Bei einem internationalen Großkonzern wie Facebook ist da ein Streitwert im zwei- bis dreistelligen Millionenbereich zu erwarten. Und dabei wird es mit einiger Sicherheit nicht bleiben, denn auch Zerodium kauft 0days, die alleine auf WhatsApp abzielen.

Guy Brenner LinkedIn

Vorläufiges Fazit

Die Klage des Facebook-Konzerns gegen die Staatstrojanerfirma NSO bringt die gesamte weltweite Branche, die sich jahrelang ungestört entfalten konnte, erstmals unter Druck. Seit Mai geht Facebook-Konzern auch konsequent gegen die organisierte Desinformationsbranche vor, zigtausende gefälschte Konten dubioser PR-Firmen wurden seіtdem rund um den Globus deaktiviert. All die Jahre davor hatte Facebook diese Kampagnen eher als Umsatzbringer angesehen und genau nichts dagegen unternommen. Nun hat die Facebook-Führung angesichts der immer lauter werdenden Forderung nach Zerschlagung offenbar erkannt, dass das gegenwärtige Image von Facebook als Bedrohung für die Demokratie den Konzern trotz seiner Profitabilät in Richtung Abgrund führen wird.