Datenschutz & Sicherheit
US-Gericht verbietet NSO Group die Installation von Spyware auf WhatsApp
Ein Gericht in den USA hat das Tech-Unternehmen NSO Group Technologies dazu verpflichtet, den Messengerdienst WhatsApp nicht mehr anzugreifen. Laut dem Hersteller der Überwachungssoftware „Pegasus“ gefährdet diese Entscheidung den Geschäftsbetrieb des Unternehmens.
Weiterlesen nach der Anzeige
In dem am vergangenen Freitag verkündeten Urteil erließ US-Bezirksrichterin Phyllis Hamilton eine dauerhafte einstweilige Verfügung, die der NSO Group untersagt, WhatsApp-Nutzer ins Visier zu nehmen. Der Fall wurde vor dem Bezirksgericht der Vereinigten Staaten für den nördlichen Bezirk von Kalifornien in Oakland (Az. 19-CV-07123) verhandelt. Zugleich reduzierte das Gericht die dem WhatsApp-Mutterkonzern Meta zugesprochene Schadensersatzsumme von 167 auf „nur noch“ vier Millionen US-Dollar. Richterin Hamilton begründete die Entscheidung damit, dass das Verhalten der NSO Group nicht als „besonders schwerwiegend“ einzustufen sei und deshalb keinen so hohen Schadensersatz rechtfertige.
Trotz der Reduzierung der Strafzahlung zeigten sich Verantwortliche von WhatsApp erfreut über den Richterspruch. „Das heutige Urteil verbietet dem Spyware-Hersteller NSO, WhatsApp und unsere weltweiten Nutzer jemals wieder ins Visier zu nehmen“, erklärte WhatsApp-Chef Will Cathcart in einer Stellungnahme. „Wir begrüßen diese Entscheidung, die nach sechs Jahren Rechtsstreit gefällt wurde, um NSO für die Überwachung von Mitgliedern der Zivilgesellschaft zur Rechenschaft zu ziehen.“
Langjährige Auseinandersetzung vor Gerichten
Der Rechtsstreit beschäftigt Gerichte seit vielen Jahren. In einer im Oktober 2019 eingereichten Klage warf der WhatsApp-Mutterkonzern Meta NSO Group vor, bei der Installation der Spionagesoftware Pegasus gegen verschiedene Gesetze verstoßen zu haben. So soll NSO Group Anfang 2019 unrechtmäßig auf WhatsApp-Server zugegriffen und dadurch die Überwachung von 1.400 Personen, darunter Journalisten und Menschenrechtsaktivisten, ermöglicht haben.
Im Jahr 2020 lehnte ein Richter den Antrag von NSO Group auf eine Form der Immunität ab. Gegen diese Entscheidung legte das Unternehmen Berufung ein. Ein Berufungsgericht jedoch bestätigte im Jahr 2021 die Entscheidung. Anfang 2023 wiesen schließlich die Richter des US-Supreme Court die Berufung von NSO Group zurück. In dieser hatte das Unternehmen argumentiert, es sei immun gegen eine Klage, weil es bei der Installation der Spionagesoftware als Agent für nicht identifizierte ausländische Regierungen gehandelt habe.
Der Fall landete schließlich vor dem US-Bezirksgericht für den nördlichen Bezirk von Kalifornien. Ende Februar 2024 entschied die zuständige Richterin, dass NSO Group den Quellcode der Pegasus-Spyware herausrücken muss. Kurz vor dem Jahreswechsel gab das Gericht schließlich dem Antrag von WhatsApp statt. Anfang Mai dann sprach eine Geschworenenjury Meta schließlich mehr als 167 Millionen US-Dollar Schadenersatz zu. Dagegen legte die NSO Group Widerspruch ein und forderte eine Neuanordnung des Verfahrens oder eine Reduzierung der Schadenssumme. Zumindest die Reduzierung hat NSO Group erreicht.
Weiterlesen nach der Anzeige
Herausforderung für NSO Group
Zufrieden dürfte das Unternehmen, das kürzlich von einer US-amerikanischen Investorengruppe übernommen wurde, dennoch nicht sein. Vielmehr dürfte die einstweilige Verfügung, nicht mehr gegen WhatsApp vorzugehen, für NSO Group eine Herausforderung darstellen, vermutet die Nachrichtenagentur Reuters. In dem Verfahren hatte das Unternehmen argumentiert, dass die beantragte einstweilige Verfügung „das gesamte Unternehmen NSO gefährden“ und „NSO aus dem Geschäft drängen“ würde, da „Pegasus das Flaggschiffprodukt von NSO ist“, heißt es in dem Urteil.
NSO Group argumentiert, dass die Pegasus-Software Strafverfolgungsbehörden und Nachrichtendienste bei der Verbrechensbekämpfung und dem Schutz der nationalen Sicherheit unterstützt und dabei helfen soll, Terroristen, Pädophile und Schwerverbrecher dingfest zu machen. Fakt ist aber auch, dass zahlreiche Regierungen weltweit die Pegasus-Spyware in den vergangenen Jahren zur politischen Überwachung genutzt haben, wie etwa in Mexiko zum Ausspähen von Journalisten, Menschenrechtsaktivisten und Antikorruptionskämpfern.
Das Unternehmen kündigte an, die Entscheidung des US-Gerichts zu prüfen und „entsprechend über die nächsten Schritte zu entscheiden“.
(akn)
Datenschutz & Sicherheit
Gefährlicher und unsichtbarer Wurm in Visual Studio Code Extensions gefunden
Seit ein paar Tagen läuft ein Supply-Chain-Angriff über die Marktplätze von Visual Studio Code. Betroffen sind sowohl der Marketplace von Microsoft als auch der alternative Open-VSX-Marktplatz der Eclipse Foundation.
Weiterlesen nach der Anzeige
Das auf Endpoint-Security spezialisierte Unternehmen Koi hat eine sich selbst verbreitende Schadsoftware entdeckt und GlassWorm getauft. Die Malware greift nicht nur Zugangsdaten ab, sondern nutzt den Zielrechner mit einem Remote-Access-Trojaner als Proxy-Knoten.
Zumindest im Open-VSX-Marktplatz sind nach wie vor infizierte Pakete vorhanden. Wie die im September auf npm gefundene Schadsoftware Shai Hulud vermehrt sich GlassWorm selbst und nutzt dazu neben der Open VSX Registry unter anderem GitHub und npm.
Malware per Update
Koi hat die Malware erstmals in der Open VSX Extension CodeJoy entdeckt. Auf den ersten Blick sieht CodeJoy wie eine reguläre Erweiterung aus, die ein paar nützliche Tools mitbringt. In Version 1.8.3 zeigt die Extension dann erstmals verdächtiges Verhalten wie Netzwerkzugriffe, die nichts mit den eigentlichen Funktionen zu tun hatten.
Wer in Visual Studio Code extensions.autoUpdate
aktiviert, erhält automatisch Updates aller Extensions, inklusive potenzieller Malware. Dass scheinbar nützliche Software erst per Update Schadcode erhält, ist keine Seltenheit.
Unsichtbarer Schadcode
Weiterlesen nach der Anzeige
Die Schadfunktionen von GlassWorm sind äußerst gut versteckt. Die Malware setzt nicht einfach auf die üblichen Verschleierungstechniken oder mehrfach indirektes Nachladen, sondern enthält unsichtbaren Code dank nicht darstellbarer Unicode-Zeichen. Offenbar ist das mit dem Unicodeblock Variantenselektoren gelungen.
Laut dem Koi-Blog ist der Code nicht nur für menschliche Reviewer, sondern auch für statische Codeanalysewerkzeuge unsichtbar, aber der JavaScript-Interpreter führt den versteckten Code aus. Das Vorgehen ist neu, und der unsichtbare Code ist der Grund dafür, dass Koi die Schadsoftware GlassWorm getauft hat.
Kein gewöhnlicher C2-Server
Auch beim Command-and-Control-Server (C2-Server) geht GlassWorm neue Wege: Die Extensions nutzen die Solana-Blockchain als Infrastruktur, also eine öffentliche Blockchain. Darüber besorgen sie sich Links im Base64-Format auf den weiteren Payload mit der eigentlichen Schadsoftware.
Für die Angreifer hat die Blockchain zahlreiche Vorteile: Sie ist verteilt und bietet unveränderliche, anonyme Transaktionen. Außerdem lässt sich die C2-Infrastruktur nicht abschalten: Wenn jemand den auf der Blockchain abgelegten C2-Server abschaltet, können die Angreifer eine Transaktion mit einer neuen Adresse veröffentlichen, auf der sich die Schadsoftware anschließend bedient.
Abgriff von Credentials und die Arbeit als Wurm
Der von GlassWorm über die Infrastruktur nachgeladene Payload besteht wohl aus AES-256-CBC-verschlüsseltem Code. Der zugehörige Schlüssel findet sich direkt in den HTTP-Response-Headern, wodurch er sich dynamisch verteilen lässt.
Der Schadcode sucht schließlich nach Credentials für diverse Developer-Plattformen und nutzt sie, um sich weiterzuverbreiten.
GlassWorm nutzt npm-Authentifizierungs-Token, um Pakete mit Schadcode auf dem JavaScript-Paketmanager zu veröffentlichen. GitHub-Token und Git-Credentials dienen ihm dazu, legitime Repositorys zu kompromittieren. Zugangsdaten zu Open VSX nutzt die Malware, um weitere Visual-Studio-Code-Erweiterungen mit Schadcode zu veröffentlichen.
Schließlich sucht die Software nach Zugangsdaten für Kryptowährungen. Und als Bonus enthält sie einen Link auf den Google-Kalender, der ein raffinierter Backupmechanismus für die C2-Infrastruktur ist.
Zombi(e) als Bonus
In dem Kalender-Link findet sich eine weitere URL im Base64-Format, die sogar im Verzeichnisnamen /get_zombi_payload/ die Funktion offenbart: Der heruntergeladene, verschleierte und verschlüsselte Code zeigt sich als Remote-Access-Trojaner. Der infizierte Rechner wird zum SOCKS-Proxy-Server und öffnet damit den Zugriff auf den firmeninternen Nertzwerkverkehr.
Die Steuerung erfolgt über Peer-to-Peer-Verbindungen via WebRTC. Und wieder liegen die Befehle nicht auf einem einzelnen C2-Server, sondern die Angreifer verteilen sie über BitTorrent.
Aktiver Glaswurm
Koi hat den Schadcode am 17. Oktober 2025 entdeckt und zunächst sieben infizierte Extensions in der Open VSX Registry gefunden. Kurz danach tauchten weitere betroffene Erweiterungen sowohl dort als auch im VS Code Marketplace auf. Das Unternehmen zählte insgesamt 35.800 Installationen.
Der Koi-Blog listet im Anhang die Namen der gefundenen Pakete, die bekannten Payload-URLs sowie der Solana-Wallet und -Transaktion auf.
Wer eins der betroffenen Pakete installiert hat, muss davon ausgehen, dass sich die Schadsoftware auf seinem System befindet. Dasselbe gilt für Zugriffe auf die bekannten Adressen von C2-Servern und die betroffene Solana-Wallet.
(rme)
Datenschutz & Sicherheit
Jetzt patchen! Rund 7000 WatchGuard-Firewalls in Deutschland noch verwundbar
Scans von Sicherheitsforschern zeigen, dass weltweit über 70.000 Firewalls von WatchGuard verwundbar und öffentlich über das Internet erreichbar sind. Ein Sicherheitsupdate, das eine „kritische“ Lücke schließt, ist verfügbar. Derzeit gibt es noch keine Berichte zu Attacken, Admins sollten mit dem Patchen aber nicht zu lange zögern.
Weiterlesen nach der Anzeige
Schadcode ausführen
Darauf weisen Sicherheitsforscher von Shadowserver in einem Beitrag hin. Mit mehr als 20.000 Instanzen führen die USA die Liste an. Danach folgt Deutschland mit rund 7000 Firewalls. Die Sicherheitslücke (CVE-2025-9242) ist seit September bekannt. Seitdem gibt es auch Sicherheitsupdates.
An der Schwachstelle können entfernte Angreifer ohne Authentifizierung für Schadcode-Attacken ansetzen. Die betroffenen Firebox-Modelle listet WatchGuard in einer Warnmeldung auf. Die Entwickler versichern, die Schwachstelle in den folgenden Fireware-OS-Versionen geschlossen zu haben:
- 12.3.1_Update3 (B722811)
- 12.5.13
- 12.11.4
- 2025.1.1
Ist eine Installation derzeit nicht möglich, müssen Admins ihre Instanzen über einen temporären Workaround absichern.
(des)
Datenschutz & Sicherheit
Verschlüsselnde USB-Sticks von Verbatim bleiben unsicher
Der Hersteller Verbatim bekommt die Sicherheit seiner als besonders sicher angepriesenen USB-Datenträger offenbar nicht in den Griff. Die drei Modelle „Keypad Secure USB-Stick“, „Store ’n‘ Go Portable SSD“ und „Store ’n‘ Go Secure Portable HDD“ verschlüsseln zwar ihre Daten. Allerdings können Fremde die Verschlüsselung umgehen.
Weiterlesen nach der Anzeige
Schon im Jahr 2022 fand der Sicherheitsexperte Matthias Deeg von der SySS GmbH gravierende Sicherheitsmängel. Noch im selben Jahr veröffentlichte Verbatim Firmware-Updates, die die Probleme angehen sollten. Eine neue Untersuchung von Deeg zeigt: Die Updates verbessern zwar die Firmware, gehen aber nicht die grundlegenden Probleme an.
SySS teilt die aktualisierten hauseigenen Security-Kennnummern SYSS-2025-015, SYSS-2025-016 und SYSS-2025-017 – CVE-Einträge gibt es dazu (noch) nicht – und nennt ein hohes Risiko. Es stellt sich die Frage, ob Verbatim das grundlegende Hardware-Design überhaupt absichern kann.
Unsichere Verschlüsselung
Alle drei USB-Medien verwenden das gleiche Prinzip: Im Inneren sitzen ein SATA-Datenträger, ein Brückenchip von USB zu SATA, ein Speicherbaustein für die Firmware und ein Keypad-Controller. Letzterer ist mit einem Tastenfeld verbunden. Das Gerät entschlüsselt seine Daten, wenn der Nutzer die korrekte PIN bestehend aus 5 bis 12 Ziffern eingibt.

Matthias Deeg
)
Verbatim hat mit seinen Firmware-Updates den Verschlüsselungs-Algorithmus verbessert, vom simplen AES-Modus Electronic Code Book (AES-ECB) zu AES-XTS. Die Verschlüsselung bringt jedoch wenig, weil sie sich laut Untersuchung weiterhin einfach umgehen lässt.
Weiterlesen nach der Anzeige
Die erste Schwachstelle bildet die Firmware. Sie ist zwar verschlüsselt, allerdings nur durch die simple XOR-Methode mit zwei statischen Schlüsseln. Deeg hat die Firmware entschlüsselt, analysiert und abgeänderte Versionen aufgespielt. Das ist möglich, weil es keine sogenannte Root of Trust gibt, mit der die Geräte die Echtheit der Firmware kontrollieren.
Dadurch konnte der Sicherheitsforscher Muster ableiten, wie der Controller die Keys zur Verschlüsselung des gesamten Datenträgers erstellt. Das vereinfacht Brut-Force-Attacken, bei denen ein Programm mögliche PIN-Kombinationen errät. In einem Proof of Concept waren keine neun Sekunden notwendig, um die Verschlüsselung trotz aktueller Firmware zu brechen. Ein Short-Video auf Youtube veranschaulicht den Angriff.
Beworbener Sicherheitsmechanismus fehlt
Das grundlegende Problem ist eine weiterhin fehlende zentrale Absicherung: Eigentlich sollen sich die Verbatim-Datenträger nach 20 erfolglosen PIN-Eingaben sperren, machen das aber nicht. Damit kann der Hersteller sein Versprechen nicht halten: Die Daten sind nicht sicher, wenn der Datenträger verloren geht oder gestohlen wird.
Deeg merkt noch an, dass er mittlerweile drei Hardware-Revisionen mit unterschiedlichen SATA-USB-Brückenchips gefunden hat. Die neueste Version erfordert angepasste Angriffe. Auf einen ersten Blick scheint sie aber alte Fehler zu wiederholen: Der Sicherheitsforscher fand in einer Analyse der verschlüsselten Daten wiederholende Muster.
(mma)
-
UX/UI & Webdesignvor 2 Monaten
Der ultimative Guide für eine unvergessliche Customer Experience
-
UX/UI & Webdesignvor 2 Monaten
Adobe Firefly Boards › PAGE online
-
Social Mediavor 2 Monaten
Relatable, relevant, viral? Wer heute auf Social Media zum Vorbild wird – und warum das für Marken (k)eine gute Nachricht ist
-
Entwicklung & Codevor 2 Monaten
Posit stellt Positron vor: Neue IDE für Data Science mit Python und R
-
Entwicklung & Codevor 2 Monaten
EventSourcingDB 1.1 bietet flexiblere Konsistenzsteuerung und signierte Events
-
UX/UI & Webdesignvor 1 Monat
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
-
UX/UI & Webdesignvor 3 Tagen
Illustrierte Reise nach New York City › PAGE online
-
Apps & Mobile Entwicklungvor 3 Monaten
Firefox-Update 141.0: KI-gestützte Tab‑Gruppen und Einheitenumrechner kommen