Staatliche Spionage?
Google deckt Angriffe mit italienischer Spyware gegen Android und
iPhones auf
Staatliche Spionage? Google deckt Angriffe mit italienischer Spyware
gegen Android und iPhones auf
Der Vorfall erinnert an die NSO Group und deren Spionagesoftware
Pegasus. Auch RCS Labs soll staatliche Kunden haben, Verbindungen gibt
es zum umstrittenen "Hacking Team"
Ob alt oder neu, ob iPhone oder Android: Kommerzielle Spionagesoftware
kann so ziemlich jedes Smartphone übernehmen – und ist entsprechend
umstritten.
Foto: Carolyn Kaster / Reuters
Mit der eigenen Spionagesoftware Pegasus hat die israelische Firma NSO
Group in den vergangenen Jahren für einiges Aufsehen gesorgt, wurde
diese doch für allerlei ziemlich umstrittene Aktivitäten eingesetzt. So
soll sie etwa gegen Oppositionelle in Spanien oder auch Polen zum
Einsatz gekommen sein. Der Verkauf an autoritäre Regime, die sie dann
gegen Journalistinnen und Menschenrechtsaktivisten zum Einsatz bringen,
ist ebenfalls wohldokumentiert.
Eindeutige Hinweise
Ein aktueller Bericht erinnert nun daran, dass NSO bei weitem nicht der
einzige Akteur in der Welt der kommerziellen Spyware ist. In einem
Blogposting spürt Googles Threat Analysis Group (TAG) einer aktuellen
Spionagekampagne unter Nutzung der Software der italienischen Firma RCS
Labs nach. Diese hatte sowohl Android- als auch Apple-Smartphones zum
Ziel – in diesem Fall in Italien und Kasachstan. Vor allem aber: Die
Fakten legen eine staatliche Involvierung nahe.
Diese Einschätzung ergibt sich aus dem Ablauf eines solchen Angriffs.
Den Opfern wurde laut der TAG zunächst ein Link zugeschickt, der sie zur
Installation der Spionagesoftware verleiten sollte. So weit, so
gewöhnlich, interessant ist aber, was davor passierte. Zum Teil scheint
den Zielpersonen nämlich zunächst gezielt die Mobilfunkdatenverbindung
deaktiviert worden zu sein. Darauf folgte dann eine SMS, die auf eine
App verwies, mit der sich angeblich der Netzzugriff wiederherstellen
ließ. Das funktionierte zwar auch, parallel dazu fingen sich die
Betroffenen damit aber natürlich die Spyware ein.
Zusammenspiel
Der Schluss, den Google daraus zieht, ist nicht ganz überraschend.
Offenbar haben hier die Mobilfunkanbieter – wohl auf staatliche
Anordnung – mit den Angreifern zusammengearbeitet. Wo das nicht möglich
war, wurde versucht, die Opfer mittels gefälschter Messaging-Apps
hereinzulegen.
Einmal auf dem Smartphone, tarnte sich die Spyware konsequenterweise
dann als Provider-App, also in einem Fall etwa als "My Vodafone".
Interessant ist auch, dass die Installation dieser App auf einem iPhone
überhaupt so einfach funktioniert, immerhin verbietet Apple ja
eigentlich das "Sideloading", also das Einrichten von Apps jenseits des
eigenen Stores. In diesem Fall scheint RCS Labs sich aber erfolgreich
ein eigentlich für interne Unternehmens-Apps gedachtes Zertifikat aus
Apples Enterprise Developer Program besorgt zu haben, mit dem die
Installation ermöglicht wurde.
Im Fall von Android soll die App sich als Samsung-Programm getarnt
haben, wie eine ausführliche technische Analyse des ebenfalls bei Google
angesiedelten Project Zero ausführt. Dort ist erwähntes Sideloading
generell möglich, auch wenn die Nutzer dafür zunächst allerlei
Sicherheitssperren deaktivieren müssen.
Spionagewerk
Auf beiden Systemen holte sich die Spyware dann allerlei Berechtigungen
ein, um die eigene Spionagetätigkeit entfalten zu können. RCS Labs wirbt
dabei selbst damit, dass die eigene Software eine Art Totalüberwachung
eines damit befallenen Geräts ermögliche, also etwa Sprache, Standort
oder auch andere Daten erfassen kann.
Zumindest unter iOS wurden allerlei Sicherheitslücken genutzt, um die
Beschränkungen des Systems auszuhebeln. Bei zweien davon soll es sich
zum Zeitpunkt der Entdeckung um sogenannte "Zero Days" gehandelt haben,
also Lücken, von denen der Systemhersteller – in dem Fall also Apple –
zu dem Zeitpunkt noch nichts wusste. Unter Android wurden ebenfalls
Möglichkeiten für das Nachladen von Schadcode gefunden, dabei erwischt
wurde die Spionagesoftware aber nicht.
Reaktion
All die erwähnten Lücken wurden mittlerweile von Apple geschlossen, das
genutzte Enterprise-Developer-Zertifikat entzogen. Bei Google selbst
versichert man, dass diese Attacken mittlerweile mithilfe des auf
praktisch allen Android-Geräten zu findenden Google Play Protect
aufgespürt werden, zudem seien alle Betroffenen über die Vorgänge
informiert worden.
Gleichzeitig braucht man sich auch keinen Illusionen hinzugeben, ist
doch davon auszugehen, dass RCS Labs längst eine neuere Version der
Spyware mit frischen Exploits hat, die nicht entdeckt wird – ähnlich wie
es bei kommerziellen Angeboten von NSO und Co der Fall ist.
Erste Spuren
Bereits in der Vorwoche hatte die Sicherheitsfirma Lookout vor Angriffen
auf Android-Smartphones gewarnt, hinter denen der kasachische Staat
stehen soll. Die dort genutzte Spyware soll ebenfalls von RCS Labs
stammen, Lookout hat ihr den Namen "Hermit" verpasst, es ist davon
auszugehen, dass es um dasselbe Stück Spyware geht.
RCS Labs sieht kein Problem
Die in Mailand ansässige Firma RCS Labs wirbt auf der eigenen Webseite
damit, dass die eigene Software dazu benutzt wird, alleine in Europa
täglich rund 10.000 Ziele auszuspionieren. Allerdings betont man dabei,
dass es hier um "rechtmäßige Überwachung" in Zusammenarbeit mit
Polizeibehörden gehe. Sollte die Software für andere Aktivitäten genutzt
worden sein, verurteile man das, heißt es gegenüber der
Nachrichtenagentur Reuters.
Interessant dürfte auch der Hintergrund von RCS Labs sein, zeigen sich
doch dabei gewisse Verbindungen zu einer der umstrittensten europäischen
Hackergruppen der vergangenen Jahre: dem auf Staatstrojaner
spezialisierten "Hacking Team", das nach zahlreichen Skandalen und der
unfreiwilligen Veröffentlichung belastender bis peinlicher interner
Dokumente zunächst in der Versenkung verschwand und dann vor zwei Jahren
endgültig den Betrieb einstellte.
Sowohl die italienischen als auch die kasachischen Behörden wollen sich
zu den Vorgängen bisher nicht äußern.
Positionswechsel
Bei Google argumentiert man für die Öffentlichungmachung dieser
Aktivitäten mit dem Hinweis darauf, dass solche Firmen ein Risiko für
das gesamte Internet darstellten. Einerseits werde entsprechende
Software – wie zahlreich dokumentiert – laufend gegen Regimekritiker und
Oppositionelle eingesetzt und sei somit mit demokratischen Werten nicht
vereinbar. Zudem gefährde das Geheimhalten von Sicherheitslücken für
solche Aktivitäten alle Smartphone-User, da dies anderen Angreifern
ebenfalls länger Zeit für ihre Attacken gebe.
Gleichzeitig betont der Softwarehersteller aber, dass RCS Labs ebenso
wie die NSO Group nur eines von vielen in diesem Bereich aktiven
Unternehmen sei. Die TAG beobachte derzeit mehr als 30 Firmen, die
entsprechende Überwachungsdienste an Regierungen verkaufen. (Andreas
Proschofsky, 24.6.2022)
zur Startseite
https://www.derstandard.de/story/2000136850604/staatliche-spionage-google-deckt-angriffe-mit-italienischer-spyware-gegen-android