Laut Techcrunch hat ein russisches Unternehmen, das sogenannte Zero-Days kauft, Forschenden 20 Millionen US-Dollar für Schwachstellen angeboten, die es ermöglichen, iPhones und Android-Geräte zu hacken.

Der Begriff Zero-Day steht dabei für neu entdeckte Sicherheitslücken, über die Hacker ein System angreifen können. Der Ausdruck bezieht sich auf die Tatsache, dass Hersteller:innen oder Entwickler:innen frisch von einem Fehler erfahren und „null Tage“ Zeit haben, ihn zu beheben.

Im Fall des russischen Unternehmens handelt es sich um Fehlerketten, die es ermöglichen würden, Telefone mit iOS und Android aus der Ferne zu kompromittieren.

Nach Angaben des russischen Unternehmens handelt es sich bei dessen Kund:innen ausschließlich um „russische Privat- und Regierungsorganisationen“. Der hohe Preis für die Zero-Days ist wahrscheinlich unter anderem auf die Tatsache zurückzuführen, dass russische Regierungskund:innen unter den derzeitigen Umständen bereit sind, einen Aufpreis zu zahlen.

Techcrunch hat Dokumente eingesehen, aus denen hervorgeht, dass ab 2021 ein Zero-Day, der es seinen Nutzer:innen ermöglicht, Whatsapp-Nachrichten auf dem Android-Device eines Ziels zu lesen, zwischen 1,7 und 8,0 Millionen US-Dollar kosten kann.

Gerade Whatsapp ist ein beliebtes Ziel für staatliche Hacker:innen. Diese gehören zu der Gruppe, die am ehesten Zero-Days nutzt.

Im Jahr 2019 ertappten Forschende Kund:innen des Spionagesoftware-Herstellers NSO Group dabei, wie sie einen Zero-Day nutzten, um Whatsapp-Nutzer:innen anzugreifen.

Kurz darauf hat Whatsapp den israelischen Anbieter von Überwachungstechnologien verklagt. Laut eines weiteren Dokuments hat ein anderes Unternehmen im Jahr 2021 einen Zero-Click-RCE in Whatsapp für rund 1,7 Millionen US-Dollar verkauft.

RCE steht für Remote-Code-Execution und bezeichnet eine Sicherheitsschwachstelle in Serversystemen. Angreifende können Schadprogramme ausführen und sich einen ersten Zugang zu einem Gerät verschaffen. Im Fall von Whatsapp war es den Hacker:innen möglich, Nachrichten zu überwachen und zu lesen.

Der Begriff Zero-Click bezieht sich auf die Tatsache, dass der Exploit keine Interaktion des Zielgerätes erfordert. Das macht den Angriff unauffälliger und schwieriger zu entdecken. Ein Exploit kann eine Malware sein, die Sicherheitslücken und Fehlfunktionen von Anwendungsprogrammen ausnutzt.

Der Vorteil eines gezielten Angriffs auf Whatsapp besteht darin, dass Hacker:innen, die für Geheimdienste oder Strafverfolgungsbehörden arbeiten, manchmal nur an den Chatverläufen der Zielpersonen interessiert sind. Das gesamte Telefon zu kompromittieren ist dementsprechend nicht notwendig.

Aber ein Exploit, der nur in Whatsapp genutzt wird, kann auch Teil einer Kette sein und bietet die Möglichkeit weiterer Angriffe. „Die Käufer von Exploits sind an den Exploits interessiert, weil sie ihnen ermöglichen, ihre Ziele auszuspionieren“, sagte ein Sicherheitsforscher mit Kenntnissen des Marktes.

Und wenn der gekaufte Exploit nicht alle Informationen liefert, gibt es die Möglichkeit, mehrere Teile zu kaufen und sie zu kombinieren.