Wie das iPhone einer saudischen Frau das Hacken auf der ganzen Welt enthüllte

Ein einziger Aktivist hat dazu beigetragen, das Blatt gegen die NSO Group zu wenden, eines der raffiniertesten Spionageunternehmen der Welt, das nun mit einer Kaskade von Klagen und Untersuchungen in Washington konfrontiert ist, weil es angeblich Regierungsbeamte und Dissidenten auf der ganzen Welt mit seiner Software gehackt hat.

Alles begann mit einem Software-Fehler auf ihrem iPhone.

Ein ungewöhnlicher Fehler in der Spyware von NSO ermöglichte es der saudischen Frauenrechtsaktivistin Loujain al-Hathloul und Datenschutzforschern, eine Fülle von Beweisen zu entdecken, die darauf hindeuten, dass der israelische Spyware-Hersteller dabei geholfen hat, ihr iPhone zu hacken, wie sechs an dem Vorfall beteiligte Personen berichten. Eine mysteriöse gefälschte Bilddatei auf ihrem Telefon, die von der Spyware fälschlicherweise hinterlassen wurde, gab den Sicherheitsforschern einen Hinweis.

Die Entdeckung auf al-Hathlouls Telefon im letzten Jahr löste einen Sturm von rechtlichen und behördlichen Maßnahmen aus, der NSO in die Defensive brachte. Wie der Hack ursprünglich aufgedeckt wurde, wird hier zum ersten Mal berichtet.

Al-Hathloul, eine der prominentesten Aktivistinnen Saudi-Arabiens, ist dafür bekannt, dass sie eine Kampagne zur Aufhebung des Fahrverbots für Frauen in Saudi-Arabien angeführt hat. Sie wurde im Februar 2021 aus dem Gefängnis entlassen, weil sie die nationale Sicherheit gefährdet hatte.

Kurz nach ihrer Entlassung aus dem Gefängnis erhielt die Aktivistin eine E-Mail von Google, in der sie gewarnt wurde, dass staatlich unterstützte Hacker versucht hatten, in ihr Gmail-Konto einzudringen. Aus Angst, dass auch ihr iPhone gehackt worden war, kontaktierte al-Hathloul die kanadische Datenschutzgruppe Citizen Lab und bat sie, ihr Gerät auf Beweise zu untersuchen, sagten drei Personen, die al-Hathloul nahe stehen, gegenüber Reuters.

Nach sechsmonatiger Suche in den Aufzeichnungen ihres iPhones machte der Citizen Lab-Forscher Bill Marczak eine Entdeckung, die er als beispiellos bezeichnete: Eine Fehlfunktion in der Überwachungssoftware, die auf ihrem Telefon implantiert war, hatte eine Kopie der bösartigen Bilddatei hinterlassen, anstatt sich selbst zu löschen, nachdem sie die Nachrichten ihres Ziels gestohlen hatte.

Er sagte, der Fund, der von dem Angriff zurückgelassene Computercode, sei ein direkter Beweis dafür, dass die NSO das Spionagetool gebaut habe.

"Das war ein Wendepunkt", sagte Marczak. "Wir haben etwas entdeckt, von dem das Unternehmen dachte, es sei nicht zu fangen."

Die Entdeckung kam einer Hacking-Blaupause gleich und veranlasste Apple Inc. dazu, Tausende von anderen staatlich unterstützten Hacking-Opfern auf der ganzen Welt zu benachrichtigen, so vier Personen mit direkter Kenntnis des Vorfalls.

Der Fund von Citizen Lab und al-Hathloul bildete die Grundlage für Apples Klage gegen NSO im November 2021 und fand auch in Washington Widerhall, wo US-Beamte erfuhren, dass die Cyberwaffe von NSO zur Ausspähung amerikanischer Diplomaten eingesetzt wurde.

In den letzten Jahren hat die Spyware-Industrie ein explosives Wachstum erlebt, da Regierungen auf der ganzen Welt Telefon-Hacking-Software kaufen, die die Art von digitaler Überwachung ermöglicht, die früher nur wenigen Elite-Geheimdiensten vorbehalten war.

Im vergangenen Jahr hat eine Reihe von Enthüllungen von Journalisten und Aktivisten, darunter die internationale Journalismus-Kooperation Pegasus Project, die Spyware-Industrie mit Menschenrechtsverletzungen in Verbindung gebracht und NSO und seine Mitbewerber stärker unter die Lupe genommen.

Sicherheitsforscher sagen jedoch, dass die Entdeckung von al-Hathloul die erste war, die eine Blaupause für eine mächtige neue Form der Cyberspionage lieferte, ein Hacking-Tool, das ohne jegliche Interaktion des Benutzers in Geräte eindringt und den bisher konkretesten Beweis für das Ausmaß dieser Waffe liefert.

In einer Erklärung sagte ein Sprecher von NSO, das Unternehmen betreibe die von ihm verkauften Hacking-Tools nicht, sondern "Regierungen, Strafverfolgungsbehörden und Geheimdienste". Der Sprecher beantwortete keine Fragen dazu, ob die Software des Unternehmens verwendet wurde, um al-Hathloul oder andere Aktivisten anzugreifen.

Der Sprecher sagte jedoch, dass die Organisationen, die diese Behauptungen aufstellten, "politische Gegner von Cyber Intelligence" seien und dass einige der Behauptungen "vertraglich und technologisch unmöglich" seien. Der Sprecher lehnte es unter Berufung auf Vertraulichkeitsvereinbarungen mit Kunden ab, Einzelheiten zu nennen.

Ohne auf Einzelheiten einzugehen, sagte das Unternehmen, dass es über ein etabliertes Verfahren zur Untersuchung des angeblichen Missbrauchs seiner Produkte verfüge und sich von Kunden wegen Menschenrechtsproblemen getrennt habe.

DIE ENTDECKUNG DER BLAUPAUSE

Al-Hathloul hatte guten Grund, misstrauisch zu sein - es war nicht das erste Mal, dass sie beobachtet wurde.

Eine Reuters-Untersuchung aus dem Jahr 2019 ergab, dass sie 2017 von einem Team von US-Söldnern ins Visier genommen wurde, die im Rahmen eines geheimen Programms namens Project Raven im Auftrag der Vereinigten Arabischen Emirate Dissidenten überwachten, sie als "nationale Sicherheitsbedrohung" einstuften und ihr iPhone hackten.

Sie wurde verhaftet und fast drei Jahre lang in Saudi-Arabien inhaftiert, wo sie nach Angaben ihrer Familie gefoltert und mit Hilfe der von ihrem Gerät gestohlenen Informationen verhört wurde. Al-Hathloul wurde im Februar 2021 freigelassen und darf derzeit das Land nicht verlassen.

Reuters hat keine Beweise dafür, dass NSO in diesen früheren Hack verwickelt war.

Al-Hathlouls Erfahrung mit Überwachung und Inhaftierung habe sie dazu gebracht, Beweise zu sammeln, die gegen diejenigen verwendet werden könnten, die diese Werkzeuge einsetzen, sagte ihre Schwester Lina al-Hathloul. "Sie fühlt sich verpflichtet, diesen Kampf fortzusetzen, weil sie weiß, dass sie die Dinge verändern kann.

Die Art von Spyware, die Citizen Lab auf dem iPhone von al-Hathloul entdeckt hat, ist als "Zero-Click" bekannt. Das bedeutet, dass der Benutzer infiziert werden kann, ohne jemals auf einen bösartigen Link zu klicken.

Zero-Click-Malware löscht sich in der Regel selbst, nachdem sie einen Benutzer infiziert hat, so dass Forscher und Technologieunternehmen keine Probe der Waffe zur Untersuchung haben. Das kann das Sammeln von Beweisen für iPhone-Hacks fast unmöglich machen, sagen Sicherheitsforscher.

Aber dieses Mal war es anders.

Durch den Softwarefehler blieb eine Kopie der Spionagesoftware auf dem iPhone von al-Hathloul versteckt, so dass Marczak und sein Team eine virtuelle Blaupause des Angriffs und Beweise dafür hatten, wer ihn ausgeführt hatte.

"Hier hatten wir die Patronenhülse vom Tatort", sagte er.

Marczak und sein Team fanden heraus, dass die Spionagesoftware zum Teil dadurch funktionierte, dass sie über eine unsichtbare Textnachricht Bilddateien an al-Hathloul schickte.

Die Bilddateien verleiteten das iPhone dazu, Zugriff auf den gesamten Speicher zu gewähren, um so die Sicherheitsvorkehrungen zu umgehen und die Installation von Spyware zu ermöglichen, die die Nachrichten des Benutzers stehlen würde.

Die Entdeckung des Citizen Labs lieferte solide Beweise dafür, dass die Cyberwaffe von NSO gebaut wurde, sagte Marczak, dessen Analyse von Forschern von Amnesty International und Apple bestätigt wurde, wie drei Personen mit direkter Kenntnis der Situation berichten.

Die Spyware, die auf al-Hathlouls Gerät gefunden wurde, enthielt Code, der zeigte, dass sie mit Servern kommunizierte, die Citizen Lab zuvor als von der NSO kontrolliert identifiziert hatte, sagte Marczak. Citizen Lab nannte diese neue iPhone-Hacking-Methode "ForcedEntry". Die Forscher übergaben die Probe dann im vergangenen September an Apple.

Mit der Blaupause des Angriffs konnte Apple die kritische Schwachstelle beheben und Tausende anderer iPhone-Nutzer, die von der NSO-Software betroffen waren, benachrichtigen und sie vor "staatlich geförderten Angreifern" warnen.

Es war das erste Mal, dass Apple diesen Schritt unternommen hat.

Während Apple feststellte, dass die überwiegende Mehrheit durch das Tool von NSO ins Visier genommen wurde, entdeckten Sicherheitsforscher auch Spionagesoftware eines zweiten israelischen Anbieters, QuaDream, die dieselbe iPhone-Schwachstelle ausnutzte, wie Reuters Anfang des Monats berichtete. QuaDream hat auf wiederholte Bitten um einen Kommentar nicht reagiert.

Die Opfer reichten von regierungskritischen Dissidenten in Thailand bis hin zu Menschenrechtsaktivisten in El Salvador.

Unter Berufung auf die aus al-Hathlouls Telefon gewonnenen Erkenntnisse verklagte Apple NSO im November vor einem Bundesgericht und warf dem Spyware-Hersteller vor, gegen US-Gesetze verstoßen zu haben, indem er Produkte entwickelt habe, die darauf abzielten, "Apple-Nutzer, Apple-Produkte und Apple zu attackieren und zu schädigen". Apple schrieb Citizen Lab die Bereitstellung von "technischen Informationen" zu, die als Beweise für die Klage verwendet wurden, gab aber nicht bekannt, dass diese ursprünglich von al-Hathlouls iPhone stammten.

NSO sagte, seine Tools hätten die Strafverfolgung unterstützt und "Tausende von Leben" gerettet. Das Unternehmen sagte, dass einige der Behauptungen, die der NSO-Software zugeschrieben werden, nicht glaubwürdig seien, lehnte es aber unter Hinweis auf Vertraulichkeitsvereinbarungen mit seinen Kunden ab, auf bestimmte Behauptungen näher einzugehen.

Zu den von Apple gewarnten Personen gehörten mindestens neun Mitarbeiter des US-Außenministeriums in Uganda, die mit der NSO-Software ins Visier genommen wurden, wie mit der Angelegenheit vertraute Personen berichten.

Im November setzte das US-Handelsministerium NSO auf eine schwarze Liste und untersagte amerikanischen Unternehmen den Verkauf von Softwareprodukten des israelischen Unternehmens, wodurch dessen Lieferkette bedroht wurde.

Das Handelsministerium begründete diese Maßnahme mit Beweisen dafür, dass die Spionagesoftware von NSO dazu benutzt wurde, "Journalisten, Geschäftsleute, Aktivisten, Akademiker und Botschaftsmitarbeiter" anzugreifen.

Im Dezember forderten der demokratische Senator Ron Wyden und 17 weitere Gesetzgeber das Finanzministerium auf, die NSO Group und drei weitere ausländische Überwachungsfirmen zu sanktionieren, die ihrer Meinung nach autoritäre Regierungen bei Menschenrechtsverletzungen unterstützt haben.

"Als die Öffentlichkeit sah, dass US-Regierungsmitglieder gehackt wurden, hat das ganz klar den Ausschlag gegeben", sagte Wyden in einem Interview mit Reuters und bezog sich dabei auf die Angriffe auf US-Beamte in Uganda.

Lina al-Hathloul, Loujains Schwester, sagte, dass die finanziellen Schläge gegen NSO das Einzige sein könnten, was die Spyware-Industrie abschrecken könnte. "Es hat sie dort getroffen, wo es weh tut", sagte sie.