WhatsApp: Israelische Spyware zielt auf Journalisten ab
von Benjamin Mamerow | 17 Kommentare
Unschöne Nachrichten aus der Welt der Messaging-Apps: WhatsApp hat bekannt gegeben, dass rund 90 Journalisten und Mitglieder der Zivilgesellschaft Ziel einer Spyware-Attacke geworden sind. Der Verursacher: Die israelische Firma Paragon Solutions. Die Angriffe erfolgten demnach über sogenannte „Zero-Click“-Attacken – die Betroffenen mussten also nicht einmal auf einen Link klicken, um sich die Schadsoftware einzufangen.
Nach den Angaben von WhatsApp wurde die Malware über PDF-Dateien in Gruppenchats verbreitet. Die Spyware namens „Graphite“ ermöglicht dabei den kompletten Zugriff auf infizierte Geräte – inklusive verschlüsselter Nachrichten in Apps wie WhatsApp und Signal. Meta, der Mutterkonzern von WhatsApp, habe bereits rechtliche Schritte eingeleitet und eine Unterlassungsaufforderung an Paragon geschickt. Die betroffenen Nutzer werden derzeit von WhatsApp über die mögliche Kompromittierung ihrer Geräte informiert.
Paragon Solutions soll allerdings auch kürzlich für 900 Millionen Dollar an eine US-amerikanische Private-Equity-Firma verkauft worden sein. Das Unternehmen verfügt über etwa 35 Regierungskunden, die nach eigenen Angaben alle als demokratisch eingestuft werden können. Für uns Nutzer bedeutet das natürlich: Updates installieren und wachsam bleiben und zur Not auf den Dienst verzichten. Im Falle eines kompromittierten Geräts wird euch das allerdings wenig bringen, zudem lassen sich auch heute nur wenige Menschen davon überzeugen, den immer genutzten Messenger der Wahl einfach links liegenzulassen. WhatsApp hat den Angriff zwar im Dezember gestoppt, aber solche Vorfälle zeigen, dass auch vermeintlich sichere Messaging-Dienste zum Ziel entsprechender Angriffe werden können.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Mich würde interessieren, ob auch Geräte mit GrapheneOS davon infiziert werden können.
Graphene ist auch blos Android. Also ja.
Erstmal ist GrapheneOS ein gehärtetes Android. Das kann die Situation ändern. Zweitens ist garnicht genannt worden, welches Betriebssysteme es überhaupt betrifft.
Was bringt es, einen anderen Messenger zu nutzen? Die Spyware steckt in einer PDF-Datei. Da dürfte es doch egal sein, über welchen Messanger (oder anderen) Weg ich diese erhalte? Oder gibt es einen WhatsApp-eigenen PDF-Reader?
Naja, die Informationen über die Sicherheitslücke sind meines Wissens bisher so dünn gesät (überall, nicht nur auf diesem Blog hier), dass man diese Frage nicht beantworten kann.
Es ist z.B. auch noch nicht klar, ob die Datei empfangen, heruntergeladen oder geöffnet werden muss.
Zero Click würde ich so interpretieren, dass das alleinige Auftauchen im Chatverlauf zu einer Infektion führt. Was bedeutet, dass die Datei in irgendeiner Art angefasst wird, z.B. um ein Previewicon zu generieren, Dateiformatcheck unabhängig von der Dateiendung etc. sogar wenn sie eigentlich zu dem Zeitpunkt noch nicht auf dem Gerät heruntergeladen sein müsste. Keine Ahnung wie das bei whatsapp geregelt ist.
Wie gesagt: bei einzelnen vergangenen zero click Schwachstellen war relevant, ob die Datei automatisch herunter geladen wird oder nicht. Soweit ich weiß ist der automatische Download bei WLAN und Mobilfunknetz Defaultkonfiguration.
Nein nur WLAN, aber das reicht ja wahrscheinlich aus. Wer ist nicht jeden Tag in irgend einen WLAN?
Ich verstehe immer noch nicht wie. Gerade das würde in Zukunft helfen.
Lücken gibt es in allem, da ist der Messenger egal. Ein Hauptproblem ist eher wenn die Messenger immer mehr zur eierlegenden Wollmilchsau aufgeblasen werden. Ein simpler PDF Dateiversand ist wohl harmlos, irgendwie hakt es da wohl bei einer Vorschau oder in-App öffnen.
Was PDFs alles anstellen können, zeigte auch die Möglichkeit Doom darin zu spielen. Das war mir mehr nochmal eine Warnung als ein Spaß.
Was zumindest in anderen(!) Fällen geholfen hat und immer wieder empfohlen wird, ist das automatische Herunterladen von Anhängen. Das kann man in den Einstellungen einstellen.
Ob das aber in Bezug auf diese spezielle Sicherheitslücke etwas ändert, kann man meines Wissens nach derzeit nicht sagen.
Thema: Angriff von Spyware auf Journalisten.
Ländernamen, die in diesem Zusammenhang auftauchen, unsere Verbündeten: USA, Israel
Ländernamen, die in diesem Zusammenhang nicht auftauchen: Nord Korea, Russland, China,…
Müsste sowas nicht mal irgendwelche POLITISCHEN Kopnsequenzen haben? Ist das nicht irgendwie kriminell, wenn befreundete Nationen unsere Bürger „angreifen“, und müsste da nicht sowas passieren wie: Anzeige, Klage, Amtshilfe, Auslieferung, Prozess, Verurteilung?
Frage für einen Freund.
Spionage unter Freunden ist in Ordnung sagte schon Merkel.
Naja nur wenn du der Schwächere bist. …was wir sind. Letztlich ist Europa kulturell, wirtschaftlich und politisch eher so eine Art amerikanische Provinz. Oder Vasall oder so etwas in die Art.
Sag deinem Freund, sowas wird beim 5 Eyes Stammtisch jeden Mittwoch geklärt.
Die Information, dass „Betroffene“ seitens WhatsApp kontaktiert werden, kann Fragen aufwerfen.
Ist die Verschlüsselung, abgesehen von Marketingaussagen, eigentlich jemals bewiesen/auditiert worden?
Und wer hat hier den privaten Schlüssel bzw. „Generalschlüssel“?
Betrifft dies Android und/oder iOS?
Konnte dazu in den verlinkten Artikeln keinen Hinweis finden.
Ob man die 35 „Regierungskunden“ heutzutage in Zeiten von Trump, Orban und Netanjahu wirklich noch als demokratisch einstufen sollte und kann, sei mal dahingestellt.