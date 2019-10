Die Firma aus Herzliya nahe Tel Aviv gilt als Käuferin unentdeckter Sicherheitslücken. Die Firma verwandelt diese Schwachstellen dann in Angriffswerkzeuge, um ihre Spionagesoftware ­Pegasus auf den Geräten nichts ahnender Opfer zu installieren.

Jetzt hat die Facebook-Tochter Whatsapp die Firma vor einem kalifornischen Gericht verklagt: wegen Computerbetrugs, Hausfriedensbruchs und eines Verstosses gegen die Nutzungsbedingungen von Whats­app. NSO habe im April und Mai 1400 Whatsapp-Nutzer gehackt. Unter den Opfern seien unter anderem Menschenrechtsaktivisten, Journalisten, Anwälte und Diplomaten gewesen. Sie will NSO den Zugang zu Whatsapp verbieten und fordert Schadenersatz in unbekannter Höhe. Interessant ist die Klage von Whatsapp vor allem, weil NSO Group stets behauptet hatte, lediglich Software zu verkaufen. Man sei beim Betrieb der Software durch die Kunden nicht beteiligt.

Manipulierte Anrufe

Whatsapp-Chef Will Cathcart behauptet nun in der «Washington Post», Beweise zu haben, dass NSO gelogen habe. Die Firma soll daran beteiligt gewesen sein, Whatsapp-Konten anzulegen, um ihre Spionagesoftware Pegasus auf den Geräten der Opfer zu verteilen. Auch beim Betrieb der Kontrollserver für den Trojaner soll NSO – anders als behauptet – ihre Finger im Spiel gehabt haben. Über diese Server können infizierte Geräte von den Angreifern kontrolliert werden und von den Geräten heimlich verschickte Daten empfangen werden. Die NSO Group hat die Vorwürfe zurückgewiesen und angekündigt, dass sie sich zur Wehr setzen werde.

Laut Anklage konnten NSO-Mitarbeiter Whatsapp so manipulieren, dass Pegasus über einen Whatsapp-Anruf auf den Geräten der Opfer verteilt wurde. Der manipulierte Anruf wurde den Opfern nicht einmal angezeigt. Damit der Spähangriff funktionierte, mussten NSO-Mitarbeiter die Whatsapp-Software und -Infrastruktur entscheidend verändern. Das behauptet Whatsapp in der Klage. Das wäre demzufolge ein Verstoss gegen die Nutzungsbedingungen und gegen Gesetze gegen Computerbetrug in den USA.

Zugriff auf alle Daten

Die 127-seitige Klageschrift gibt auch zum ersten Mal detaillierte Einblicke in die Fähigkeiten eines der mächtigsten staatlichen Hackertools. An die Klage angehängt findet sich die Produktbeschreibung des Trojaners Pegasus. Die Software könne vom Nutzer unbemerkt über stille Push-Nachrichten installiert werden und überlebe sogar ein komplettes Zurücksetzen des Geräts. Einmal auf dem Smartphone oder Tablet hätten die Spitzel Zugriff auf nahezu alle Daten und könnten zudem Fotos machen und das Mikrofon der Geräte als Wanze nutzen.

Durch Überwachung des GPS-Signals des Geräts könnten sich Spitzel einen Alarm zuschicken lassen, wenn das Opfer einen bestimmten Bereich betrete oder sich zwei Opfer treffen würden.

NSO hat stets beteuert, dass sie ausschliesslich an staatliche Stellen verkaufe und sämtliche Käufer vorher überprüft würden. Länder, in denen Menschenrechtsverletzungen zu erwarten seien, bekämen keine Lizenz.

Die Lücke bei Whatsapp wurde am 13. Mai dieses Jahres mit einem Not-Update geschlossen.