Sicherheitsforscher warnen vor Attacken auf Adobe Reader. Das alleinige Öffnen von manipulierten PDF-Dateien soll für einen erfolgreichen Angriff ausreichen. Im Anschluss sollen Angreifer Dateien kopieren und Systeme kompromittieren.

Hintergründe

Auf die Zero-Day-Sicherheitslücke ist ein Sicherheitsforscher mit dem Sandbox-Analysetool EXPMON gestoßen. Seine Erkenntnisse führt er in einem Beitrag aus. Ihm zufolge nutzen unbekannte Angreifer die Schwachstelle mindestens seit vergangenem Dezember aus. Derzeit ist die Lücke noch mit keiner CVE-Nummer versehen; auch eine Einstufung des Bedrohungsgrads steht noch aus.

Dem Forscher zufolge stehen aber alle Zeichen auf kritisch: Er gibt an, dass Opfer lediglich ein von den Angreifern präpariertes PDF-Dokument öffnen müssen, um eine Attacke einzuleiten. Danach zapfen sie die Adobe-Reader-APIs util.readFileIntoStream() und RSS.addFeed() an, die mit hohen Rechten laufen. Darüber kopieren sie Dateien und schicken sie an von ihnen kontrollierte Server.

Da geht aber noch mehr: Dem Forscher zufolge laden die Angreifer im Zuge der Attacke weitere Schadcodemodule nach, um eigenen Code auszuführen und Computer letztlich zu kompromittieren. In welchem Umfang die Attacken ablaufen und wer dahintersteckt, ist zurzeit unklar.

Ein weiterer Sicherheitsforscher hat in der Angriffskampagne verwendete PDF-Dateien analysiert. Auf X schreibt er, dass sie russische Sprache beinhalten und inhaltlich die aktuellen Ereignisse im Zusammenhang mit der Öl- und Gasindustrie in Russland behandeln.

Unklar ist derzeit auch, inwiefern die Sicherheitslücke die in Microsofts Edge-Browser implementierte Acrobat-PDF-Reader-Funktion betrifft.

Warten auf Update

Wann ein Sicherheitspatch kommt, ist bislang unbekannt. Der Finder der Schwachstelle gibt an, Adobe kontaktiert zu haben. Die Antwort auf eine Anfrage von heise security steht noch aus. Bis ein Patch kommt, sollte man keine PDF-Dateien aus unbekannten Quellen öffnen.

(des)

Die ungarische Regierung soll kürzlich Lizenzen für ein Überwachungsprogramm erworben haben, das Menschen mithilfe von Daten aus der Online-Werbeindustrie überwachen und verfolgen kann. Das hat am Donnerstag das ungarische Investigativmedium VSquare berichtet. Das Programm Webloc der US-Firma Penlink soll auf Daten von bis zu 500 Millionen Handys beruhen.

VSquare beruft sich auf eingesehene Dokumente und mehrere Quellen mit Verbindung zu ungarischen Geheimdienstkreisen. Die Enthüllung ist Teil eines größeren Berichts zu Penlink und Webloc, den gestern das Citizen Lab der Universität Toronto veröffentlicht hat.

In dem Bericht heißt es auf Englisch:

Unsere Untersuchungen zeigen, dass mittlerweile in mehreren Ländern weltweit Militär-, Geheimdienst- und Strafverfolgungsbehörden – bis hinunter zu lokalen Polizeieinheiten – äußerst invasive und rechtlich fragwürdige, werbebasierte Überwachungstechnik ohne richterliche Anordnung oder angemessene Kontrolle einsetzen.

Zu den bekanntesten Kunden von Penlink gehört die paramilitärische US-Abschiebebehörde ICE, die im Auftrag der Trump-Regierung massenhaft Menschen festnehmen und deportieren soll. Sie soll das werbebasierte Überwachungswerkzeug laut Medienberichten unter anderem nutzen können, um gezielt Menschen anhand ihrer Handy-Standorte aufzuspüren.

Laut VSquare und Citizen Lab steht Webloc Ungarn mindestens seit 2022 zur Verfügung; zuletzt habe 2026 eine ungarische Sicherheitsbehörde neue Webloc-Lizenzen erworben. Es wäre der erste bestätigte Kauf eines werbebasierten Überwachungstools durch eine europäische Regierung. Auf unsere Presseanfrage hat die ungarische Regierung bis zum Zeitpunkt der Veröffentlichung nicht reagiert.

Standorte und Interessen: Diese Daten soll Webloc nutzen

Das Werkzeug Webloc ist offenbar eine Erweiterung für ein größeres Überwachungsprodukt namens Tangles. Das berichten die Forschenden des Citizen Lab mit Verweis auf gesammelte Dokumente und Verträge. Webloc soll demnach Zugang zu einem Datenstrom von bis zu 500 Millionen Handys weltweit bieten. Zu den verfügbaren Daten sollen unter anderem gehören:

• genaue GPS-Standorte,
• die einzigartigen Werbe-Kennungen eines Geräts (mobile advertising IDs, kurz: MAID),
• Eckdaten zum Gerät wie Betriebssystem und weitere installierte Apps,
• Eckdaten zur Person, die das Gerät nutzt, wie Alter, Geschlecht, Sprache sowie
• Interessen der Person, sogenannte Zielgruppen-Segmente aus der Werbe-Industrie, zum Beispiel Vorlieben für Basketball oder Luxusgüter.

Eine Presseanfrage von netzpolitik.org zur Datengrundlage von Webloc hat die US-Betreiberfirma Penlink (früher: Cobweb Technologies) nicht beantwortet. Wir können deshalb nicht mit Sicherheit sagen, ob die beschriebene Datengrundlage zutreffend oder aktuell ist.

Die Liste der verfügbaren Daten ist zumindest plausibel. Denn genau solche Daten lassen sich aus der Online-Werbe-Industrie gewinnen. Das zeigen unsere Recherchen zum Datenmarktplatz Xandr, die von Zielgruppen-Segmenten handeln, und zu den Databroker Files, die den Handel mit Standortdaten in den Fokus nehmen.

Solche Daten werden angeblich nur zu Werbezwecken erhoben, etwa beim Bieten auf digitale Werbeplätze, dem Real-Time-Bidding. Weitere Daten können über sogenannte SDKs abfließen; das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen. Nicht alle Akteur*innen der Werbe-Industrie behandeln die Daten vertraulich.

Auf oftmals verschlungenen Wegen landen sie letztlich als Handelsware bei Databrokern – und von dort potenziell bei Unternehmen, die daraus Überwachungswerkzeuge bauen. Diese Form der Überwachung wird auch ADINT genannt, kurz für advertising-based intelligence, werbebasierte Aufklärung.

Bewegungsprofile: Das soll Webloc mit den Daten machen

Webloc soll die Arbeit mit den Daten mithilfe einer grafischen Oberfläche einfach machen, wie aus dem Bericht der Forschenden hervorgeht. Demnach sollen Kund*innen etwa suchen können, welches Handy in einem bestimmten Gebiet – oder in mehreren Gebieten – unterwegs gewesen ist. Außerdem sollen sich Nutzer*innen das Bewegungsprofil einzelner Handys anzeigen lassen können.

Als Beispiel zeigen die Forschenden den Screenshot aus der Produktpräsentation eines Drittanbieters, der die Fähigkeiten von Webloc darlegen soll. Der Screenshot zeigt die angebliche Route eines Handy-Nutzers auf einer Karte, basierend auf 39 Ortungen: Die Reise soll demnach von Deutschland über Österreich nach Ungarn geführt haben.

Zu den Fähigkeiten der Software hat sich Penlink auf Anfrage nicht geäußert. Grundsätzlich lassen sich Handy-Nutzer*innen jedoch mithilfe von Standortdaten der Werbe-Industrie auf genau diese Weise ausspionieren. Das interne Recherche-Werkzeug, das netzpolitik.org und Bayerischer Rundfunk für die Databroker-Files-Recherchen genutzt hat, hatte im Kern die gleichen Fähigkeiten.

Mit einem Werkzeug wie diesem lassen sich gezielt Personen oder Gruppen ins Visier nehmen, etwa Besucher*innen einer politischen Demo; Menschen, die in bestimmten Grenzregionen unterwegs sind, die bestimmte Parteizentralen oder Redaktionen besuchen und vieles mehr. In einem autoritären Regime ist das eine besondere Gefahr unter anderem für Aktivist*innen, Oppositionelle, Journalist*innen oder Migrant*innen.

Achtung, Datenhandel! Lebensgefahr!

Orbán muss um seine Macht bangen

Den Recherchen von VSquare und dem Citizen Lab zufolge gehörten mindestens drei ungarische Sicherheitsbehörden seit den frühen 2020er-Jahren zu den Kunden von Cobwebs Technologies, das inzwischen unter dem Namen Penlink firmiert: der Inlandsgeheimdienst Constitution Protection Office (AH), das für das Sammeln und Zusammenführen von Geheimdienstdaten zuständige National Information Center (NIC) sowie die Überwachungsbehörde Special Service for National Security (NBSZ).

Zum Portfolio von Cobwebs Technologies / Penlink sollen mehrere Werkzeuge gehören. NBSZ soll zuletzt im März 2026 Lizenzen für das werbebasierte Überwachungswerkzeug Webloc und weitere Programme erworben haben.

Die Enthüllungen kommen zu einem besonderen Zeitpunkt: Am kommenden Sonntag wählt Ungarn ein neues Parlament, und es sieht erstmals seit Langem so aus, als könnten Premier Viktor Orbán und seine Fidesz-Partei die Mehrheit verlieren. Umfragen sehen die TISZA-Partei von Herausforderer Péter Magyar deutlich vorne; nach 16 Jahren droht Orbán der Machtverlust.

Er und seine Fidesz-Partei haben das Land in den vergangenen Jahren zunehmend autoritär regiert. Die Regierung macht unabhängigen Medien und Nichtregierungsorganisationen die Arbeit schwer, hat Veranstaltungen wie die queere Pride-Demonstration in Budapest verbieten lassen und lässt kaum eine Gelegenheit aus, um Hetze zu verbreiten: etwa gegen die EU, die Ukraine, queere Menschen oder den jüdischen Philanthropen George Soros. Im Rahmen der Pegasus-Affäre kam 2021 ans Licht, dass mehrere ungarische Oppositionelle und Medienschaffende mit dem gleichnamigen Staatstrojaner überwacht wurden.

Brisant ist, dass die ungarische Regierung auch gegen den Journalisten Szabols Panyi vorgeht, der für VSquare zusammen mit dem Citizen Lab zu Penlink / Cobwebs Technologies in Ungarn recherchiert. Auch auf seinem Telefon wurde 2021 die Pegasus-Überwachungssoftware entdeckt. Kürzlich berichtete Panyi auf VSquare über zunehmenden russischen Einfluss auf Viktor Orbán – unter anderem soll Moskau ein Team des Militärgeheimdienstes GRU nach Ungarn geschickt haben, um den Wahlkampf mit Desinformation zu beeinflussen. Die Regierung wirft dem Journalisten Spionage für einen ausländischen Staat vor; die Polizei ermittelt gegen ihn.

Ein großes Arsenal digitaler Waffen

Neben ungarischen Behörden soll nach Recherchen des Citizen Lab auch die Polizei in El Salvador Webloc erworben haben, wie der Bericht unter Berufung auf geleakte Dokumente und einen Medienbericht festhält. Das Land wird seit 2019 von Präsident Nayib Bukele regiert, ebenfalls zunehmend autoritär. Eine Presseanfrage von netzpolitik.org ließ die betroffene Polizeibehörde unbeantwortet.

Außerdem listet der Bericht zahlreiche US-Behörden auf, von der lokalen bis zur Bundesebene, die Tangles-Lizenzen erworben haben sollen.

Entwickelt haben soll das werbebasierte Überwachungssystem das israelische Unternehmen Cobwebs Technologies. Es wurde 2023 von der US-Investmentfirma Spire Capital erworben und mit der Überwachungsfirma Penlink fusioniert, unter deren Namen die Geschäfte seitdem weiter laufen.

Neben Webloc sollen Penlink und Cobweb offenbar weitere mächtige Werkzeuge zur digitalen Überwachung im Angebot haben. Das Hauptprodukt heißt dem Bericht des Citizen Lab zufolge Tangles. Es soll etwa Soziale Medien, Foren, Telegram-Gruppen und andere Orte im Netz überwachen können. Kunden können demnach etwa nach Namen, Telefonnummern oder E-Mail-Adressen suchen, um sich online verfügbare Informationen über eine Person anzeigen zu lassen. Dazu zählen auch Posts, Interaktionen mit anderen, besuchte Veranstaltungen oder Beziehungen zu anderen Nutzer*innen. Auch Gesichtserkennung und die automatisierte Analyse von Bildhintergründen, um Orte zu erkennen, sollen zum Produktumfang gehören.

Unsere Presseanfrage zu Tangles und weiteren Produkten ließ Penlink unbeantwortet.

Cobweb soll zumindest bis zur Fusion mit Penlink ein weiteres Produkt namens Trapdoor angeboten haben, berichtet das Citizen Lab. Das Programm wird als „Social-Engeneering-Plattform“ beschrieben, die Kund*innen bei Phishing-Angriffen unterstützen soll. Dem Bericht zufolge könne man mit dem Tool etwa Fake-Websites aufsetzen und Phishing-Links verschicken, um an Informationen und Zugangsdaten von Zielpersonen zu gelangen. Die Forschenden schlussfolgern, mit dem Werkzeug lasse sich die Installation von Malware auf dem Gerät eines Opfers erleichtern.

Das Citizen Lab beschreibt zudem das Cobwebs-Produkt Lynx, mit dem sich digitale Undercover-Operationen und Fake-Accounts in Sozialen Medien managen lassen sollen. Es soll unter anderem genutzt werden können, um sogenannte virtuelle Agenten zu steuern, mit denen Geheimdienste Gruppen im Netz infiltrieren. Auch für Lynx ist ungeklärt, ob es von Penlink übernommen wurde.

Keine Auskunft von der Bundesregierung

Mithilfe von 94 Informationsfreiheitsanfragen wollten die Forscher*innen des Citizen Lab in Erfahrung bringen, welche anderen europäischen Behörden zu den Kunden von Penlink oder Cobwebs gehören. Dabei bissen sie weitgehend auf Granit: „Viele Anfragen wurden abgelehnt oder blieben unbeantwortet“, schreiben die Forschenden. „Europol bestätigte, über Informationen zu Webloc zu verfügen, weigerte sich jedoch, diese offenzulegen.“

In Deutschland hatte zuletzt die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke) Ende 2025 im Rahmen einer Kleinen Anfrage von der Bundesregierung unter anderem wissen wollen, ob Bundesbehörden wie das BKA Produkte von Cobwebs oder Penlink nutzen. Die Bundesregierung verweigerte die Auskunft. Ähnlich äußerte sich das Innenministerium nun auf eine aktuelle Presseanfrage von netzpolitik.org:

Die Sicherheitsbehörden im Geschäftsbereich des Bundesministeriums des Innern (BMI) arbeiten zur Erfüllung ihrer gesetzlichen Aufträge auch mit kommerziellen Anbietern zusammen. Wir bitten um Verständnis, dass wir Ihnen zu Details der Beschaffung und des Einsatzes von entsprechender Software keine weiteren Auskünfte geben können.

Dass Deutschland für Penlink als Markt relevant sein könnte, darauf deutet ein weiterer Fund der Recherche des Citizen Lab: Seit 2020 unterhält Cobwebs in Deutschland ein Vertriebsbüro, das seit 2025 unter dem Namen Pen-Link GmBH firmiert.

Im Zusammenhang mit Ermittlungen gegen Personen, die die US-Regierung „Antifa“-Gruppen zuordnet, hat die Bundespolizeibehörde FBI Daten von einem iPhone wiederherstellen können, die eigentlich als gelöscht galten. Das berichtet das Magazin 404 Media. Dabei gelang es den Forensikern, einlaufende Signal-Nachrichten aus der iOS-Benachrichtigungsdatenbank zu extrahieren, obwohl Signal selbst auf dem Gerät nicht mehr vorhanden war. Bei dem Fall ging es um Angriffe auf ein Gefängnis der US-Grenzschutzbehöre ICE in Texas im vergangenen Sommer, das laut FBI mit Feuerwerk beschossen und „mutwillig beschädigt“ worden war. Zudem wurde mindestens ein Polizist verletzt.

In Signal weg, in der iPhone-Datenbank nicht

Der Trick, den die FBI-Analysten verwendeten, wurde im Rahmen eines Prozesses gegen die Beteiligten bekannt. Eine Person, die aufseiten der Angeklagten den Prozess beobachtete, teilte 404 Media mit, man habe erfahren, dass bei aktiven Signal-Benachrichtigungen samt Vorschau diese Daten auch im internen Speicher des iPhones landeten. Dort wurden sie dann vom FBI forensisch extrahiert. Im Rahmen der Beweisaufnahme hieß es: „Die Nachrichten wurden über den internen Benachrichtigungsspeicher von Apple vom Handy wiederhergestellt – Signal war zwar deinstalliert worden, doch die eingehenden Benachrichtigungen waren im internen Speicher erhalten geblieben. Es wurden nur eingehende Nachrichten erfasst (keine ausgehenden).“

Interessanterweise soll die betroffene Person Signal so eingestellt haben, dass die eingehenden Nachrichten automatisch verschwinden. In der Benachrichtigungsdatenbank geschieht dies allerdings offenbar nicht. 404 Media geht davon aus, dass nicht nur Signal von dieser Tatsache betroffen ist, sondern auch andere Anwendungen, die Benachrichtigungen nutzen.

Auch auf den Servern gibt es Push-Daten

In diesem Fall waren nur lokale Daten einsehbar, Apple und andere Betreiber von Smartphone-Diensten sollen in der Vergangenheit aber auch Informationen von ihren Push-Servern mit Behörden geteilt haben. Auf eine Anfrage von 404 Media reagierte Apple nicht. Das Verfahren endete mit einer Verurteilung, eine der Personen wurde wegen versuchten Mordes schuldig gesprochen.

Signal reagierte auf eine Nachfrage, antwortete später aber nicht mehr, so das Magazin. In der App ist es möglich, die Vorschau von Nachrichten zu unterbinden. Damit dürften diese auch nicht in der Benachrichtigungsdatenbank landen. Es ist aber auch möglich, alle Benachrichtigungen abzuschalten.

(bsc)