- WhatsApp fordert seit 2019 Zugriff auf den Pegasus-Spyware-Code der NSO Group, und ein US-Gericht entschied, dass über die Installationsschicht hinaus Informationen zum gesamten Funktionsumfang der betreffenden Spyware offengelegt werden müssen
- Kern der Klage ist WhatsApps Vorwurf, Pegasus habe zwei Wochen lang 1.400 WhatsApp-Nutzer überwacht und unbefugt auf sensible Daten einschließlich verschlüsselter Nachrichten zugegriffen
- US-Bezirksrichterin Phyllis Hamilton befand, dass sich allein anhand der Installationsschicht nur schwer nachvollziehen lasse, wie Datenzugriff und -extraktion erfolgen; daher fallen auch entsprechende NSO-Spyware, die auf WhatsApp-Server zielte oder WhatsApp nutzte, in den Offenlegungsumfang
- Das Gericht nahm jedoch Details zur Serverarchitektur von NSO sowie die Forderung nach Identifizierung von Kunden aus; außerdem wies es einen Antrag von NSO zurück, Kommunikation zwischen WhatsApp und Citizen Lab nach Klageeinreichung herauszugeben
- Die Offenlegung der Experten beider Seiten ist für den 30. August 2024 vorgesehen, der Prozessbeginn für den 3. März 2025; damit dürfte der tatsächliche Funktionsumfang von Pegasus zu einem zentralen Beweismittel in der Hauptsache werden
Gerichtsurteil zur Offenlegung der Pegasus-Funktionen
- WhatsApp reichte Klage ein und behauptete, Pegasus der NSO Group sei 2019 über zwei Wochen hinweg zur Überwachung von 1.400 WhatsApp-Nutzern eingesetzt worden
- WhatsApp behauptet, Pegasus habe unbefugt auf sensible Daten einschließlich verschlüsselter Nachrichten zugegriffen
- Die damalige Klage wurde als beispielloser rechtlicher Schritt gegen eine unregulierte Branche bewertet, die weltweit Regierungen hochentwickelte Malware-Dienste verkauft
- NSO versuchte, die gesamte Discovery unter Verweis auf verschiedene Beschränkungen in den USA und Israel zu verhindern, doch der Antrag auf umfassende Blockade wurde abgewiesen
Entscheidung: Die Installationsschicht allein reicht nicht aus
- US-Bezirksrichterin Phyllis Hamilton folgte nicht der Argumentation von NSO, wonach das Unternehmen nur Informationen zur Installationsschicht von Pegasus übergeben müsse
- Das Gericht gab WhatsApps Antrag statt und ordnete an, Informationen zum „gesamten Funktionsumfang der betreffenden Spyware“ bereitzustellen
- Nach Auffassung des Gerichts wäre es für die Kläger schwer, allein mit Informationen zur Installationsschicht zu verstehen, wie die Spyware ihre Funktionen zum Zugriff auf Daten und deren Extraktion ausführt
- Offenlegungspflichtig ist einschlägige NSO-Spyware, die auf WhatsApp-Server abzielte oder WhatsApp in irgendeiner Weise nutzte, um auf Zielgeräte zuzugreifen
- Der Zeitraum reicht von einem Jahr vor bis zu einem Jahr nach dem alleged attack
Von WhatsApp behauptete Pegasus-Funktionen
- WhatsApp behauptet, Pegasus könne Kommunikation abfangen, die auf Geräten ein- und ausgeht
- Zu den betroffenen Diensten gehören iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp und weitere
- Ebenfalls behauptet wird, Pegasus könne je nach Ziel angepasst werden
- Abfangen von Kommunikation
- Aufnehmen von Screenshots
- Ausleiten des Browserverlaufs
Von der Offenlegung ausgenommene Informationen
- Richterin Hamilton ließ nicht alle Discovery-Anträge von WhatsApp zu
- Bestimmte Informationen zur Serverarchitektur von NSO wurden vom Offenlegungsumfang ausgenommen
- Begründung: WhatsApp könne dieselben Informationen aus den Angaben zum gesamten Funktionsumfang der betreffenden Spyware erschließen
- NSO wird nicht gezwungen, Kunden zu identifizieren
- NSO nennt die Regierungen, die die Spyware gekauft haben, nicht öffentlich
- Laut Berichten von The Guardian gibt es Hinweise darauf, dass Poland, Saudi Arabia, Rwanda, India, Hungary und United Arab Emirates Pegasus zur Zielerfassung von Dissidenten eingesetzt haben
- 2021 setzten die USA NSO auf eine schwarze Liste; Begründung waren Vorwürfe, „digitale Werkzeuge, die zur Unterdrückung eingesetzt werden“, verbreitet zu haben
Antrag im Zusammenhang mit Citizen Lab abgewiesen
- In derselben Anordnung wies Richterin Hamilton auch den Antrag von NSO zurück, WhatsApp müsse Kommunikation mit Citizen Lab nach Klageeinreichung offenlegen
- Citizen Lab trat in diesem Fall als Zeuge eines Dritten auf und stützte WhatsApps Argumentation, dass NSO-Kunden Pegasus gegen die Zivilgesellschaft missbraucht hätten
- NSO schrieb in einer Gerichtsunterlage, der Bedarf an dieser Discovery würde deutlich sinken, wenn WhatsApp aus der Verfahrensakte Citizen Labs Darstellung zurückziehe, wonach „Pegasus nicht für Ermittlungen zu Terrorismus und schweren Straftaten, sondern gegen Mitglieder der Zivilgesellschaft eingesetzt wurde“
- Richterin Hamilton sah die Relevanz der beantragten Discovery als schwer erkennbar an und folgte dem Antrag von NSO nicht
Weitere Schritte und Reaktionen
- NSO hat sich zu dieser Anordnung bislang nicht geäußert
- Ein WhatsApp-Sprecher sagte The Guardian, die Entscheidung sei ein wichtiger Meilenstein auf dem Weg zum langfristigen Ziel, WhatsApp-Nutzer vor illegalen Angriffen zu schützen
- Der Sprecher sagte, Spyware-Unternehmen und böswillige Akteure müssten verstehen, dass sie zur Verantwortung gezogen werden können und das Gesetz nicht ignorieren dürfen
- Das Gericht erwartet die Expertenoffenlegungen beider Seiten am 30. August 2024
- Der Prozess soll voraussichtlich am 3. März 2025 beginnen
1 Kommentare
Hacker-News-Kommentare
Interessant ist, dass NSO versucht hat, das gesamte Beweisermittlungsverfahren mit Verweis auf „verschiedene Beschränkungen der USA und Israels“ zu blockieren, dieser Ansatz aber abgewiesen wurde
US-Gerichte werden sich vermutlich nicht besonders um die Beschränkungen eines anderen Landes, also um israelische Vorschriften, kümmern
Die US-Regierung hat Pegasus zwar offiziell auf die Blacklist gesetzt (https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma...), aber es würde nicht überraschen, wenn einige US-Geheimdienste es weiterhin nutzen würden
In diesem Fall könnte Pegasus darum bitten, dass US-Geheimdienste die Klage stoppen lassen, mit Verweis auf die Offenlegung geheimer Informationen oder eine Beeinträchtigung nationaler Interessen
Es wäre interessant zu sehen, ob eines Tages plötzlich „irgendetwas“ passiert und der Fall auf mysteriöse Weise abgewiesen wird
Es ist viel einfacher, einfach die Ergebnisse von befreundeten Geheimdiensten anzufordern, die Pegasus verwenden
Eine auf Armeslänge distanzierte Form der Beschaffung ist rechtlich weniger riskant
Allerdings wäre es vor US-Gerichten nachteilig, sich auf nationale Sicherheit zu berufen. Dann hieße es: „Nutzen Sie diese Software?“ „Offiziell nein.“ „Auf welcher Grundlage berufen Sie sich dann auf nationale Sicherheit?“
Snowdens Enthüllungen liegen schon lange zurück, und selbst das, was man damals gesehen hat, war kaum zu glauben
Was Geheimdienste heute verwenden, kann man sich gar nicht vorstellen
Gemessen daran, was diese Behörden besitzen und einsetzen können, fragt man sich, was an Pegasus eigentlich so besonders sein soll
Ich verstehe diesen Fall nicht so recht
Ich verstehe nicht, warum für ein ausländisches israelisches Spyware-Unternehmen, das von der US-Regierung bereits auf die Blacklist gesetzt wurde, die Zuständigkeit von US-Gerichten bestehen soll
Und selbst wenn Israel verliert, frage ich mich, warum es den Quellcode der Spyware an WhatsApp schicken sollte
Wenn sie nicht reagiert, ergeht ein Versäumnisurteil, und das Gericht kann die Beschlagnahmung von Vermögenswerten anordnen, auf die die USA zugreifen können
Selbst wenn Zahlungen außerhalb Israels in Schekel eingehen, taucht bei der Währungsumrechnung der Dollar als Vermittlungswährung auf, und genau dort haben die USA einen Hebel
In Frankreich gab es ebenfalls einen absurden Fall
Die USA haben den großen französischen Konzern Alstom faktisch in die Insolvenz getrieben und ihn billig aufgekauft, und später versuchten sie auch Airbus zu Fall zu bringen
In beiden Fällen nutzten die USA das von ihnen selbst beanspruchte Recht auf extraterritoriale Anwendung
Dokumentiert ist das in dieser Dokumentation: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
Früher war sie auch auf YouTube unter https://youtu.be/Sa22eu1FWyo zu sehen, scheint jetzt aber privat zu sein. War die Enthüllung wohl zu unbequem
FATCA funktioniert aus demselben Grund
Das ist die „internationale liberale Ordnung“, von der Regierungen ständig reden
Israel hat ein Abkommen unterzeichnet, nach dem Urteile von US-Gerichten respektiert und vollstreckt werden, und die USA haben ebenso ein Abkommen unterzeichnet, nach dem Urteile israelischer Gerichte respektiert und vollstreckt werden
Wenn also ein US-Richter eine Anordnung unterschreibt und sie an einen israelischen Richter schickt, vollstreckt dieser sie, und umgekehrt genauso
Natürlich kann man die Klage ignorieren, aber dann sollten die Beteiligten besser nie wieder in die USA einreisen
Schon ihre Arbeitsweise wirkt auf den ersten Blick stark kriminell, sodass man fast allen ehemaligen Mitarbeitern raten würde, die Einreise in die USA zu vermeiden
Ich frage mich, ob eine der anderen erwähnten Plattformen Signal ist
Das bedeutet nicht, dass die Schwachstelle in der jeweiligen App lag oder dass die App schuld war
Letztlich ist das eher ein Problem der Plattform, insbesondere von iOS und Apple, sowie der Entwickler und Händler von Exploits
Deshalb hasst Apple diese Leute
Ob gut oder schlecht: Druck auf Apple auszuüben, kann für die übrigen Nutzer insgesamt sogar etwas Gutes sein
Man kann aber auch argumentieren, dass Apple solche Probleme besser angehen und Belohnungen für Sicherheitsforscher stärker erhöhen sollte
Es ist besser als vor 20 Jahren, aber es dürfte sich weiterhin eher lohnen, Exploits an solche dubiosen Akteure zu verkaufen, als zu erwarten, dass ein Großkonzern für einen Fund mehr als ein Taschengeld zahlt
Zur Einordnung: Es gibt https://grapheneos.org/ und https://signal.org/
Wenn eine Spyware auf einem Gerät Zugriff auf Ring-0-Ebene erlangt hat, sind die Sicherheitseigenschaften von Apps wie Signal kaum noch relevant
Die Spyware kann dann sehr leicht darauf zugreifen
Israel wird die Ausfuhr des Quellcodes niemals erlauben
Ich verstehe nicht, warum Pegasus, selbst wenn es verliert, den echten Quellcode an WhatsApp schicken müsste
Könnte man nicht einfach irgendeinen Unsinn schicken, oder übersehe ich etwas
Ich verstehe nicht, warum die NSO Group, und weitergehend Israel, wegen dieser Spyware nicht sanktioniert wurden
Dieses Unternehmen ist ein gefährliches Unternehmen, das leicht missbrauchbare Werkzeuge an die schlimmsten antidemokratischen Feinde des Westens verkauft
Wegen Politik
Äquatorialguinea war ein solches Beispiel, verbunden mit dem Diktator Obiang und einem ExxonMobil-Vertrag
Steve Coll schrieb in "Private Empire: ExxonMobil and American Power" (2012) dazu
Für die Zielländer ist das überhaupt nicht gut, aber für die israelischen und amerikanischen Geheimdienste vorteilhaft
Deshalb möchte ich nicht im Bereich Cybersicherheit arbeiten
Weil man es mit gefährlichen Menschen zu tun hat
Und Cybersicherheit ist ein sehr weites Feld
Viele Aufgaben bestehen eher darin, Mitarbeitende in Sicherheitsprinzipien und -verfahren zu schulen und Datenklassifizierung umzusetzen
Nicht alle befassen sich direkt mit Angriffen, die meisten machen Präventionsarbeit
In unserem Unternehmen liegt der Anteil derjenigen, die technisch im Bereich Cybersicherheit arbeiten und direkt mit Angriffen zu tun haben, wahrscheinlich unter 20 %. Allerdings spielt dabei auch eine Rolle, dass wir unser SOC ausgelagert haben