Nur wenige Wochen nachdem ein Richter entschieden hat, dass die NSO Group in einer Klage der Facebook-Tochter WhatsApp keine Immunität genießt, erhöht Apple den Druck auf das Unternehmen erheblich.
Nach einem Zero-Click-Zero-Day-Exploit, der gegen iPhone-Nutzer eingesetzt wurde, hat Apple eine Klage gegen die NSO Group eingereicht.
In der Klage wird behauptet, dass der Hersteller der berüchtigten Spionagesoftware Pegasus für die illegale Überwachung von Apple-Nutzern verantwortlich ist. Der Computerriese möchte, dass das Gericht eine dauerhafte Verfügung gegen das israelische Unternehmen erlässt, die ihm die Nutzung von Apple-Software, -Diensten oder -Geräten untersagt, sowie eine nicht näher bezifferte Schadensersatzsumme.
„In einer freien Gesellschaft ist es inakzeptabel, mächtige staatlich geförderte Spionageprogramme gegen diejenigen einzusetzen, die die Welt verbessern wollen“, sagte Ivan Krstić, Leiter der Abteilung Apple Security Engineering and Architecture, in einer am Montag veröffentlichten Erklärung von Apple.
Die NSO Group ist auch mit anderen Klagen konfrontiert – insbesondere mit einer Klage der Facebook-Tochter WhatsApp, die die NSO Group für die Verbreitung von Pegasus über den Messaging-Dienst an mindestens 1.400 Zielpersonen verantwortlich machen will. Diese Klage hat Legionen von Amicus-Briefen ausgelöst, unter anderem von Cisco, Electronic Frontier Foundation (EFF), GitHub, Google, der Internet Association, LinkedIn, Microsoft und VMware.
Anfang dieses Monats wies ein US-Berufungsgericht die Argumentation der NSO Group zurück, dass sie durch die Gesetze zur staatlichen Immunität vor der Klage geschützt sei, so dass die Klage weitergehen kann und das Unternehmen auf die Ermittlungen reagieren muss. Dieses Urteil hat wahrscheinlich die Entscheidung von Apple, eine eigene Klage einzureichen, begünstigt, so die Forscher.
„[The Apple suit] ist nicht sonderlich überraschend, wenn man bedenkt, dass NSO erst vor kurzem seinen Antrag auf Verteidigung der staatlichen Immunität verloren hat“, sagte Jake Williams, Mitbegründer und CTO von BreachQuest, per E-Mail. „Es ist wahrscheinlich, dass Apple diesen Schritt schon seit einiger Zeit in Erwägung gezogen hat, aber darauf gewartet hat, dass der WhatsApp-Fall seinen Weg durch das Bundesberufungsgericht findet.“
Neben der dauerhaften Unterlassungsverfügung wird in der Klage auch Wiedergutmachung für die „eklatanten Verstöße der NSO Group gegen US-amerikanisches Bundes- und Landesrecht gefordert, die sich aus ihren Bemühungen ergeben, Apple und seine Nutzer ins Visier zu nehmen und anzugreifen.“ Apple kündigte an, den zugesprochenen Schadenersatz an Organisationen zu spenden, die sich mit der Erforschung und Förderung der Cyberüberwachung befassen, sowie weitere 10 Millionen Dollar aus der Unternehmenskasse zu zahlen.
Apple sagte auch, dass es die Pegasus-Spezialisten von Citizen Lab in Zukunft mit kostenloser technischer Unterstützung, Bedrohungsforschung und technischer Hilfe unterstützen wird.
Pegasus ergreift die Flucht
Pegasus ist ein berüchtigtes, militärisches Überwachungsinstrument, das mit gezielten Cyberangriffen repressiver Regime auf Dissidenten, Aktivisten und Nichtregierungsorganisationen in Verbindung gebracht wird (ganz zu schweigen von der Ermordung von Journalisten). Es kann auf das Mikrofon, die Kamera, Nachrichten und andere sensible Daten auf Apple- und Android-Geräten zugreifen.
Die NSO Group behauptet ihrerseits, dass sie Pegasus nur für legitime Strafverfolgungs- und Anti-Terror-Aktivitäten an überprüfte Regierungen verkauft, die die Bürgerrechte hochhalten. Eine Behauptung, die von Forschern weitgehend zurückgewiesen wurde, auch in einer aktuellen Analyse von Amnesty International und Citizen Lab.
Die US-Regierung hat sich ebenfalls gegen diese Unschuldsvermutung gewandt und Anfang dieses Monats amerikanischen Bürgern oder Organisationen jeglichen Handel mit dem Unternehmen untersagt. Das US-Handelsministerium hat die NSO-Gruppe in seine „Entity List“ aufgenommen, die bisher hauptsächlich dazu diente, den Geldfluss an Personen und Organisationen mit Verbindungen zu kinetischen Terroraktivitäten zu begrenzen.
Pegasus hat einen Bissen Apfel abbekommen
Apple hat einen berechtigten Grund zur Klage: Die NSO Group hat in der Vergangenheit nicht gezögert, Apple-Nutzer ins Visier zu nehmen. Im August warnte die Cybersecurity-Watchdog Citizen Lab, dass Pegasus eine Zero-Klick-Zero-Day-Sicherheitslücke für Apple mit der Bezeichnung FORCEDENTRY in seine Trickkiste aufgenommen hat. Die Spionagesoftware wurde erfolgreich in den iOS-Versionen 14.4 und 14.6 eingesetzt und umging Apples neue Sandbox-Funktion BlastDoor, um auf den iPhones bahrainischer Aktivisten zu landen. Apple eilte mit einer Notlösung für den Fehler herbei.
Und im Dezember letzten Jahres hackten vier staatlich unterstützte APTs (Advanced Persistent Threats) Journalisten, Produzenten, Moderatoren und Führungskräfte von Al Jazeera in einem Pegasus-Spionageangriff, der eine weitere Zero-Day-Sicherheitslücke für das Apple iPhone ausnutzte, so Forscher.
„Staatlich geförderte Akteure wie die NSO Group geben Millionen von Dollar für ausgeklügelte Überwachungstechnologien aus, ohne dass sie effektiv zur Rechenschaft gezogen werden. Das muss sich ändern“, sagte Craig Federighi, Senior Vice President of Software Engineering bei Apple, in der Erklärung. „Apple-Geräte sind die sicherste Consumer-Hardware auf dem Markt – aber private Unternehmen, die staatlich gesponserte Spionageprogramme entwickeln, sind noch gefährlicher geworden. Obwohl diese Bedrohungen der Cybersicherheit nur eine sehr kleine Anzahl unserer Kunden betreffen, nehmen wir jeden Angriff auf unsere Nutzer sehr ernst und arbeiten ständig daran, die Sicherheits- und Datenschutzmaßnahmen in iOS zu verbessern, um alle unsere Nutzer zu schützen.“
Die Klage von Apple enthält neue Informationen zu FORCEDENTRY, so Apple: „Um FORCEDENTRY auf Apple-Geräte zu bringen, erstellten die Angreifer Apple-IDs, um bösartige Daten an das Gerät eines Opfers zu senden – was es der NSO Group oder ihren Kunden ermöglichte, Pegasus-Spyware ohne das Wissen des Opfers zu liefern und zu installieren.“
Forscher reagieren auf die NSO-Klage von Apple
Cybersecurity-Forscher ihrerseits begrüßten den Schritt von Apple. Joseph Carson zum Beispiel, leitender Sicherheitswissenschaftler und beratender CISO bei ThycoticCentrify, bezeichnete ihn als einen Gewinn für den Datenschutz.
„Es ist bekannt, dass Regierungen und andere die Pegasus-Spionagesoftware nutzen und missbrauchen, um Zugriff auf die Daten von Mobilgeräten zu erhalten, ohne dass das Opfer davon weiß oder auf irgendetwas klicken muss“, sagte er per E-Mail. „Um die Privatsphäre zu schützen, ist eine gute Sicherheit erforderlich. Wenn die Sicherheit nicht mehr gewährleistet ist, stellt dies ein Risiko für alle dar. Das Gleichgewicht der Privatsphäre ist mehr denn je gefährdet, und es sieht so aus, als hätte Apple beschlossen, die Privatsphäre zu verteidigen und für sie zu kämpfen. Es ist wichtig, die Bürger zu schützen, denn die Regierungen sind dazu da, den Bürgern zu dienen und ihnen Dienste anzubieten, und nicht, sie zu kontrollieren. Das bedeutet, dass die Regierungen zusammenarbeiten müssen, um die sicheren Häfen für diejenigen einzuschränken, die die Rechte der Bürger missbrauchen, und wenn die Diplomatie versagt, sieht es so aus, als würde Apple jetzt den rechtlichen Weg einschlagen.“
Williams von BreachQuest merkte an, dass, selbst wenn die NSO Group die Apple-Plattform nicht mit technischen Maßnahmen verhindern kann, die Klage den ohnehin schon gewaltigen Gegenwind, dem das Unternehmen ausgesetzt ist, noch verstärkt.
„Offensichtlich wird NSO in der Lage sein, dies von einem technischen Standpunkt aus zu umgehen“, sagte er. „Es gibt Apple jedoch wahrscheinlich zusätzliche rechtliche Möglichkeiten, wenn NSO weiterhin Exploits und Hintertüren anbietet, die eindeutig auf den Zugang zu Apple-Produkten und -Diensten für die Entwicklung und Tests angewiesen sind. Dies kann keine gute Nachricht für NSO sein, das Berichten zufolge mit über 500 Millionen Dollar Schulden, einem kürzlichen Führungswechsel beim CEO und dem Rückzug Frankreichs von einem geplanten Kauf nach den US-Sanktionen von der Zahlungsunfähigkeit bedroht ist.
John Bambenek, Hauptbedrohungsjäger bei Netenrich, sagte, die NSO Group habe es einfach zu weit getrieben.
„Dies ist die natürliche Folge der Bewaffnung von Schwachstellen gegen große Unternehmen und deren Kunden“, sagte er. „In früheren Jahren wurden diese legalen Werkzeuge gegen Sicherheitsforscher eingesetzt, bis die Entspannung bei den Bug-Bounty-Programmen erreicht war. Die NSO Group und andere sind jetzt einfach auf der geschäftlichen Seite dieser legalen Werkzeuge, die es zwar schon gab, die aber schon seit einiger Zeit schlummern. Ich bin zwar skeptisch gegenüber Beinahe-Monopolen, [Apple and others] Dennoch haben sie Zugang zu Gerichtssystemen in der ganzen Welt, um sich gegen diese Unternehmen zu wehren, und ich bin froh, dass sie das tun.
Im Internet gibt es ein Meer unstrukturierter Daten zu den neuesten Sicherheitsbedrohungen. Melden Sie sich noch heute an, um die wichtigsten Konzepte der natürlichen Sprachverarbeitung (NLP) kennenzulernen und zu erfahren, wie man sich in diesem Datenmeer zurechtfindet und Cybersecurity-Bedrohungen einen Kontext verleiht (ohne ein Experte zu sein!). An dieser von Rapid7 gesponserten interaktiven LIVE Town Hall von Threatpost nehmen die Sicherheitsforscher Erick Galinkin von Rapid7 und Izzy Lazerson von IntSights (einem Unternehmen von Rapid7) sowie die Threatpost-Journalistin und Moderatorin des Webinars, Becky Bracken, teil.
Registrieren Sie sich JETZT für die LIVE-Veranstaltung!
Einige Teile dieses Artikels stammen aus:
threatpost.com
Angreifer zielen aktiv auf Windows Installer Zero-Day