Der in den Medien bekannteste Staatstrojaner ist derzeit die Pegasus Suite der israelischen NSO Group. Mehr als 50.000 Opfer wurden mit diesem Trojaner ausspioniert (Stand: Sommer 2021). Dazu gehörten Menschrechtsaktivisten, Journalisten (auch in europäischen Ländern wie Griechenland, Polen, Ungarn), aufsässige Politiker (Katalonien), EU Politiker, US State Department, die Kryptohandys des spanischen Regierungschef und seiner Verteidigungsministerin…
Das BKA nutzt eine angepasste Version von Pegasus und auch der BND steht auf der Kundenliste von NSO. Die NSO Spionagesoftware Pegasus ist in mehreren Preisstufen verfügbar:
Es gibt keinen 100% Schutz gegen einen Angreifer, der nahezu unbgrenzte finanzielle Mittel zur Verfügung hat. Aber man kann Angriffe deutlich erschweren und die Angriffsfläche verringern.
Die Sicherheitsfirma Kaspersky hat einige Tipps zum Schutz gegen Pegasus und andere Trojaner veröffentlicht und die Teams von GrapheneOS und dem PrHdb haben noch kleine Ergänzungen:
Immer ein vertrauenswürdiges VPN nutzen, da TK-Provider seit 2020 gem. TKÜV staatliche Behörden beim Rollout von Staatstrojanern bestmöglich unterstützen müssen. Man sollte dabei einen VPN Provider wählen, der keine persönlichen Informationen abfragt.
Das Smartphone täglich rebooten, da persistente Exploits teurer sind und selten genutzt werden. Ein persistenter 0-Click Exploit für Android kostet bis zu 2,5 Mio. Dollar. Das nutzt man vorsichtig und spart es für wichtige Ziele auf.
Gelegentlich sollte man den Akku Smartphone auch vollständig entladen lassen ("phone dies the natural death") um es von NoReboot Trojanern zu reinigen.
Man kann die "Zielerkennung" erschweren, indem man nie Telefonnummern weitergibt und Messenger verwendet, die nicht an Telefonnummern gebunden sind (Threema, Session).
Hinweis: Man kann mit Threema oder Session Messenger auch telefonieren - kein Problem.
Man sollte nicht den mitgelieferten Standardbrowser verwenden sondern Firefox Focus (sagt Kaspersky) oder Bromite (für Android, Empfehlung vom PrHdb), was nicht generell unknackbar ist, aber viele Standardangriffe ins Leere laufen lässt. "HTTPS-only Mode" aktivieren.
Auch ein standardmäßig mitgeliefertes E-Mail Programm sollte man meiden und statt dessen Alternativen nutzen, um Angriffe ins Leere laufen zu lassen.
(Über einen 0-Click Exploit in Apple Mail wurden beispw. die iPhones von Journalisten und Promis kompromittiert. Dieser Bug in Apple Mail existierte von iOS 3.1.3 - 13.4.1 über einen Zeitraum von 10 Jahren.)
Alternativen sind FairEMail bzw. K9Mail für Android oder Canary Mail für iPhones. Die E-Mail Apps sollte man so konfigurieren, dass Anhäge und Bilder nicht automatisch angezeigt werden und keine externen Elemente automatisch geladen und angezeigt werden.
Um die Angriffsfläche auf das Hidden OS zu verringern, kann man LTE only für mobile Daten aktivieren und die veralteten Protokolle 2G + 3G sowie das neue 5G deaktivieren.
"LTE only" kann man in GrapheneOS in den Einstellungen unter "Netzwerk & Internet - SIM Karten - Bevorzugter Netzwerktyp" aktivieren.
Wenn man den "HTTPS-only Mode" im Standardbrowser Vanadium ativiert, erschwert man das Einschleusen von bösartigem Zeugs in Webseiten. Außerdem kann man den JIT Compiler für Javascript abschalten, um die Angriffsfläche zu verringern.
Diese beiden Optionen kann man in den Einstellungen vom Browser Vanadium in der Sektion "Datenschutz und Sicherheit" aktivieren.
In den letzten Monaten haben wir einen Anstieg der Zahl der iOS-Exploits beobachtet, vor allem von Safari und iMessage-Ketten, die von Forschern aus der ganzen Welt entwickelt und verkauft werden. Der Zero-Day-Markt ist so überflutet von iOS-Exploits, dass wir kürzlich begonnen haben, einige von ihnen abzulehnen.
Apple hat die Zeichen der Zeit erkannt in iOS 16 einen Blockiermodus (engl: lock down mode) implementiert, der in iMessages keine Dateien außer Bilder darstellt, Facetime Anrufe von Unbekannten blockiert, den JIT Compiler in Browsern deaktiviert, die USB-Schnittstelle abschaltet, Installation von Profilen blockiert u.a.m.
Den "Blockiermodus" kann man in den Einstellungen unter "Datenschutz & Sicherheit" aktivieren. Man wird mehrfach darauf hingewiesen, dass man es wirklich nur in ganz besonderen Ausnahmefällen braucht, nur wenn wirklich ein Risiko besteht, dass man zu einer Zielgruppe für Hackerangriffe gehört… aber wer weiß das schon, bevor man gehackt wurde?
Die Hinweise sind als Denkanstöße gedacht. Man muss sie nicht zu 100% umsetzen und sie bieten vollständig umgesetzt auch keinen 100% sicheren Schutz. Aber sie frustrieren einen Angreifer.
Nachdem bekannt wurde, dass mehr als 200 Journalisten mit dem Pegasus Trojaner angegriffen wurden, hat "Reporter ohne Grenzen" im Juli 2022 das Digital Security Lab in Berlin eröffnet, wo sich IT-Spezialisten die Smartphones und Computer von Journalisten anschauen, die die Vermutung haben, dass sie gehackt wurden. Kontaktadressen des Lab findet man auf der Webseite.