WhatsApp hat kürzlich eine gravierende Sicherheitslücke behoben, die von Cyberkriminellen ausgenutzt wurde, um die Graphite-Spyware der israelischen Firma Paragon auf den Geräten von Zielpersonen zu installieren. Diese Zero-Click-Sicherheitslücke wurde in einem Angriff verwendet, der auf Journalisten und Mitglieder der Zivilgesellschaft abzielte und von den Sicherheitsforschern des Citizen Lab der Universität Toronto aufgedeckt wurde.
Der Angriff setzte eine Zero-Day-Sicherheitslücke aus, die es den Angreifern ermöglichte, die Spyware auf den Geräten der Opfer zu installieren, ohne dass diese einen Klick ausführen mussten – daher der Begriff „Zero-Click“. WhatsApp reagierte darauf, indem das Unternehmen das Problem Ende 2024 behob, ohne dass ein Update für die Endnutzer erforderlich war. Es wurde entschieden, dieser Schwachstelle keine CVE-ID (Common Vulnerabilities and Exposures) zuzuordnen, nachdem das Unternehmen die relevanten Richtlinien des MITRE-CVE-Systems sowie eigene interne Standards überprüft hatte.
Zielgerichtete Angriffe auf Journalisten und Aktivisten
Der Angriff betraf rund 90 Android-Nutzer aus mehr als zwei Dutzend Ländern, darunter auch Journalisten und Aktivisten aus Italien. Die Angreifer fügten ihre Opfer zuerst einer WhatsApp-Gruppe hinzu und verschickten dann ein präpariertes PDF-Dokument. Das PDF löste die Exploit-Lücke aus und ermöglichte es, die Graphite-Spyware im Hintergrund zu installieren. Diese Spyware konnte dann auch andere Apps auf den betroffenen Geräten kompromittieren und den Angreifern Zugang zu privaten Kommunikationskanälen der Opfer verschaffen.
WhatsApp hat alle betroffenen Nutzer direkt kontaktiert und sie über die mögliche Kompromittierung ihrer Geräte informiert. Der WhatsApp-Sprecher betonte, dass es sich hierbei um ein weiteres Beispiel dafür handle, warum Unternehmen, die Spyware vertreiben, für ihre illegalen Aktivitäten zur Verantwortung gezogen werden müssen.
Die Graphite-Spyware und ihre Hintergründe
Die Graphite-Spyware wurde von Paragon Solutions, einem israelischen Unternehmen, entwickelt und dient der gezielten Überwachung von Kommunikationsplattformen. Im Gegensatz zu vielen anderen Spyware-Unternehmen behauptet Paragon, seine Produkte ausschließlich an demokratische Länder und deren Strafverfolgungsbehörden zu verkaufen. Dennoch wurde Paragon zunehmend mit Berichten in Verbindung gebracht, dass ihre Technologien auch in autoritären Kontexten eingesetzt werden könnten.
Citizen Lab konnte durch eine Analyse der Server-Infrastruktur von Paragon wichtige Hinweise auf die Herkunft und den Umfang der Spionageaktivitäten finden. Unter anderem wurde festgestellt, dass mehrere digitale Fingerabdrücke und Zertifikate auf Verbindungen zu verschiedenen Regierungen hinwiesen, darunter auch Australien, Kanada, Dänemark, Israel und Singapur.
Paragon und seine Verbindungen zu Regierungen
Paragon wurde 2019 von Ehud Barak, dem ehemaligen israelischen Premierminister, und Ehud Schneorson, dem ehemaligen Kommandeur der israelischen Einheit 8200, gegründet. Im Dezember 2024 wurde das Unternehmen von der Florida-basierten Investmentgruppe AE Industrial Partners für 900 Millionen US-Dollar übernommen. Berichte zufolge hatte Paragon im Jahr 2022 bereits eine Zusammenarbeit mit der US-amerikanischen Drogenbekämpfungsbehörde DEA, und 2024 wurde bekannt, dass das Unternehmen einen Vertrag im Wert von 2 Millionen Dollar mit der US-amerikanischen Einwanderungs- und Zollbehörde ICE unterzeichnet hatte.
WhatsApp reagiert mit rechtlichen Schritten
WhatsApp erklärte, dass es Paragon eine „Abmahnung“ übermittelt habe und prüfe, rechtliche Schritte einzuleiten, um gegen das Unternehmen vorzugehen. Dies sei ein weiterer Schritt im Kampf gegen Unternehmen, die Technologien entwickeln, die den Datenschutz und die Rechte von Individuen untergraben.
„WhatsApp hat eine Spionagekampagne von Paragon gestoppt, die eine Reihe von Nutzern, darunter Journalisten und Mitglieder der Zivilgesellschaft, ins Visier genommen hat. Wir haben direkt mit den betroffenen Personen Kontakt aufgenommen“, erklärte ein Sprecher von WhatsApp. „Dies ist das jüngste Beispiel dafür, dass Unternehmen, die Spyware produzieren, für ihre illegalen Handlungen verantwortlich gemacht werden müssen. WhatsApp wird weiterhin die Privatsphäre und das Recht der Menschen auf sichere Kommunikation schützen.“
Dieser Vorfall verdeutlicht einmal mehr die Bedrohungen, die durch kommerzielle Überwachungssoftware wie Paragon entstehen, und die Notwendigkeit, den Schutz der Privatsphäre von Nutzern weltweit zu gewährleisten. WhatsApp hat durch die schnelle Reaktion, die Sicherheitslücke zu beheben und die betroffenen Nutzer zu warnen, einen wichtigen Schritt in der Bekämpfung von Cyberangriffen und der Verhinderung von Datenspionage unternommen. Dennoch bleibt die Herausforderung, den illegalen Handel mit solchen Technologien zu stoppen und die Verantwortlichen zur Rechenschaft zu ziehen.
