Ein Journalist für die New York Times, Ben Hubbard, entdeckte kürzlich, dass sein Telefon während seiner Arbeit im Nahen Osten nicht einmal, sondern zweimal von böswilligen Parteien gehackt wurde.
Beide Male wurde sein iPhone mit der Pegasus-Spyware der NSO Group infiltriert, die The Pegasus Project seit langem daran arbeitet, ihre Opfer zu zerlegen und zu identifizieren (von denen einige ermordet wurden). Tatsächlich wurden im Code auf Hubbards Telefon insgesamt vier Versuche entdeckt: Die ersten beiden kamen in Form von gefährlichen Links, die über eine WhatsApp-Nachricht und eine SMS gesendet wurden.
Die NSO Group, der Schöpfer und Eigentümer der bei diesen Angriffen verwendeten Pegasus-Software, ist ein großes Überwachungsunternehmen mit Sitz in Israel, das in der Regel Regierungsbehörden die Nutzungslizenz für die Spyware zum Zweck der Verfolgung von Kriminellen und Terroristen vergibt.
Ein solches Werkzeug ist jedoch sehr leicht anfällig für Missbrauch und wurde bereits von mehreren Regierungen in vielen Ländern missbraucht, wo es illegal verwendet wurde, um Dutzende unschuldiger Zivilisten im Auge zu behalten.
Wie sich herausstellte, musste ich nicht einmal auf einen Link klicken, um mein Telefon zu infizieren.
Als Korrespondent der New York Times, der über den Nahen Osten berichtet, spreche ich oft mit Leuten, die große Risiken eingehen, um Informationen zu teilen, die ihre autoritären Herrscher geheim halten wollen. Ich treffe viele Vorkehrungen, um diese Quellen zu schützen, denn wenn sie erwischt werden, könnten sie im Gefängnis oder tot landen […]
Wie sich herausstellte, musste ich nicht einmal auf einen Link klicken, um mein Telefon zu infizieren.
Um herauszufinden, was passiert war, arbeitete ich mit Citizen Lab zusammen, einem Forschungsinstitut an der Munk School of Global Affairs der University of Toronto, das sich mit Spyware beschäftigt.
Die ersten beiden Versuche erfolgten per SMS und WhatsApp-Nachricht. Diese hätten nur funktioniert, wenn Hubbard auf die Links geklickt hätte, und er war zu versiert, um darauf hereinzufallen. Aber es gibt keine Möglichkeit, einen Zero-Click-Exploit zu verhindern.
Bill Marczak, Senior Fellow am Citizen Lab […] fand heraus, dass ich zweimal, in den Jahren 2020 und 2021, mit sogenannten „Zero-Click“-Exploits gehackt wurde, die es dem Hacker ermöglichten, in mein Telefon einzudringen, ohne dass ich auf Links klicken musste. Es ist wie von einem Geist ausgeraubt zu werden […]
Auf der Grundlage eines Codes, der in meinem Telefon gefunden wurde und dem ähnelte, was er in anderen Fällen gesehen hatte, sagte Herr Marczak, er habe „hohes Vertrauen“, dass Pegasus alle vier Male verwendet wurde.
Es gab auch starke Beweise dafür, dass Saudi-Arabien hinter jedem der Angriffe steckte. NSO hat den Einsatz von Pegasus durch das Land zweimal wegen Missbrauchs ausgesetzt.
Hubbard erklärt weiter, dass er seitdem einige spezifische Vorkehrungen getroffen hat, um sich selbst zu schützen. Zum einen verwendet er Signal, eine verschlüsselte Messaging-App. Auf diese Weise “wird nicht viel zu finden sein, selbst wenn ein Hacker es schafft”, sagt er.
Eine gute Sache zu wissen, erklärt Hubbard, ist, dass NSO neben anderen Spyware-Unternehmen seinen lizenzierten Benutzern nicht erlaubt, Telefonnummern in den Vereinigten Staaten anzusprechen, um politische Probleme zu vermeiden. Im Telefon gespeicherte ausländische Kontakte sind jedoch alles andere als sicher – weshalb Hubbard dazu übergegangen ist, alle seine sensiblen Kontakte und Informationen offline, außerhalb seines Telefons, zu speichern.
Es gibt keine Garantien, aber es gibt vorbeugende Maßnahmen
Die wichtige Lektion, die Hubbard betonte, war, dass die Realität so ist, dass jeder mit einem Zero-Click-Exploit gehackt werden kann und höchstwahrscheinlich nicht einmal davon erfahren würde. Apple hat die Schwachstellen, die frühere Angriffe aufgedeckt hatten, gepatcht, aber andere offensichtlich vermisst, die weiterhin ausgenutzt werden. Und selbst wenn diese geflickt sind, können wir nie 100% sicher sein, dass wir sie alle abgedeckt haben.
Offline zu sein ist die einzige todsichere Garantie für Cybersicherheit, aber obwohl dies für die meisten von uns keine Option ist, könnten wir zumindest etwas aus den Vorsichtsmaßnahmen lernen, die Hubbard beschrieben hat, um zumindest zu versuchen, so sicher wie möglich zu bleiben.
Das ist bei weitem nicht das erste Mal…
Die NSO bestritt die Beteiligung entschieden, aber der grausige Teil dieser Untersuchung war, dass es möglicherweise diese Pegasus-gestützte Infiltration war, die zum grausamen Tod und der Zerstückelung des saudischen Journalisten Jamal Khashoggi führte. Seine Frau war in den Monaten vor Jamals Tod gehackt und über ihr Handy beobachtet worden.