Wie Hacker Telefone übernehmen können, ohne dass Nutzer auf einen Link klicken

Im Jahr 2025 sind die meisten Menschen untrennbar mit ihren Laptops und Smartphones verbunden. Mit dieser Vertrautheit ist auch die Vorsicht im Umgang mit der Technik gewachsen, einschließlich des Bewusstseins gegenüber den Gefahren, die mit dem Öffnen unaufgeforderter E-Mails, SMS oder WhatsApp-Nachrichten verbunden sind. Doch es gibt eine wachsende Bedrohung: Zero-Click-Angriffe. Aufgrund ihrer Kosten und Raffinesse betrafen sie bisher vor allem VIPs oder sehr wohlhabende Personen.

Ein Zero-Click-Angriff kann ein Gerät ohne Zutun des Benutzers hacken. Es reicht bereits der Empfang einer Nachricht, eines Anrufs oder einer Datei. Der Angreifer nutzt versteckte Schwachstellen in Apps oder Systemen. So kann er die Kontrolle über das Gerät übernehmen, ohne dass der Benutzer überhaupt etwas von dem Angriff bemerkt.

„Obwohl das öffentliche Bewusstsein in letzter Zeit gestiegen ist, haben sich diese Angriffe über viele Jahre hinweg stetig weiterentwickelt. Mit der Verbreitung von Smartphones und vernetzten Geräten sind sie immer häufiger geworden“, erklärte Nathan House, CEO von StationX, einer in Großbritannien ansässigen Cybersicherheitsschulungsplattform, gegenüber The Epoch Times. Weiter sagte er:

Die größte Schwachstelle liegt eher in der Software als in der Art des Geräts, was bedeutet, dass potenziell jedes vernetzte Gerät angegriffen werden kann.“

[etd-related posts=“3940935,3383916,4974133″]

VIPs im Fokus staatlicher Akteure

Aras Nazarovas, Informationssicherheitsforscher bei Cybernews, erklärte gegenüber The Epoch Times, warum Zero-Click-Angriffe in der Regel eher auf VIPs als auf normale Personen abzielen.

„Da es schwierig und teuer ist, solche Zero-Click-Exploits zu finden, werden sie meist dazu verwendet, um Zugang zu Informationen von wichtigen Persönlichkeiten wie Politikern oder Journalisten in autoritären Regimes zu erhalten“, sagte er. Sie werden oft gezielt eingesetzt. Der Einsatz solcher Methoden zum Diebstahl von Geld sei eher selten.

„Der Teil, der ein hohes Maß an Raffinesse erfordert, ist das Auffinden von Bugs [Schwachstellen im Programmcode], die solche Angriffe ermöglichen, und das Schreiben von Exploits [wörtlich: Ausnutzung] für diese Bugs“, so Nazarovas.

Er wies aber auch darauf hin, dass normale Nutzer bereits in der Vergangenheit von Zero-Click-„Drive-by“-Angriffen betroffen waren. Dabei handelt es sich um Angriffe, die nach der unbeabsichtigten Installation von Schadsoftware auf einem Gerät auftreten, oft ohne dass der Nutzer dies überhaupt bemerkt. Mit dem wachsenden Graumarkt für solche Exploits sind sie jedoch seltener geworden.

Ein Hacker tippt auf einer Computertastatur. Deutlich weniger müssen die Opfer tun: nichts. Foto: Anna Varavva/The Epoch Times

„Der Verkauf von Zero-Click-Exploits und Exploit-Ketten ist seit Jahren ein Milliardenmarkt. Einige Grau- oder Schwarzmarkt-Exploit-Broker bieten oft 500.000 bis 1 Million Dollar für solche Exploit-Ketten für beliebte Geräte und Apps“, so Nazarovas. Das entspricht derzeit rund 440.000 bis 880.000 Euro.

Im Juni 2024 berichtete der britische Sender BBC über Vorfälle bei der Social-Media-Plattform TikTok. Das Unternehmen habe den Hack einer „sehr begrenzten“ Anzahl von Konten eingeräumt. Auch das Konto des US-Medienunternehmens CNN gehörte dazu. ByteDance, der Eigentümer von TikTok, bestätigte die Art des Hackerangriffs nicht. Cybersicherheitsunternehmen wie Kaspersky und Assured Intelligence vermuteten aber trotzdem einen Zero-Click-Exploit als Ursache.

House ergänzte, dass Hacker für Zero-Click-Exploits oft nach Schwachstellen in Software und Apps suchten. Deren Entdeckung sei teuer. Das bedeute, dass die Täter in der Regel „staatliche Akteure oder finanzstarke Gruppen“ seien.

Expandierende Spyware-Märkte

In letzter Zeit habe es Innovationen im Bereich der Künstlichen Intelligenz gegeben, die bestimmte Cyberverbrechen wie das Klonen von Stimmen erleichtern, um so berühmte Persönlichkeiten oder enge Verwandte von Opfern zu imitieren. Es gebe laut Nazarovas jedoch noch keine Hinweise darauf, dass dadurch das Risiko von Zero-Click-Angriffen gestiegen sei.

House sagte, dass Menschen jedoch die KI nutzen könnten, um „Zero-Click-Exploit-Ketten für Menschen zu schreiben, denen sonst die Zeit, die Erfahrung oder das Wissen fehlen würde, um solche Exploits zu entdecken und zu schreiben“.

Der Anstieg der Zero-Click-Angriffe in den letzten Jahren sei jedoch „hauptsächlich auf den Ausbau der Spyware-Märkte und die größere Verfügbarkeit ausgefeilter Exploits zurückzuführen und nicht direkt auf KI-gestützte Techniken“, so House.

House erklärte weiter, dass Zero-Click-Angriffe bereits seit mehr als einem Jahrzehnt existierten. Der bekannteste Fall sei die Pegasus-Spyware-Affäre gewesen, in der die Spionagesoftware Pegasus über einen Zero-Klick-Angriff installiert wurde.

[etd-related posts=“4442397,5149166″]

Die NSO Group schrieb damals in ihrem Webauftritt: „Wie NSO bereits zuvor erklärt hat, stand unsere Technologie in keiner Weise in Verbindung mit dem abscheulichen Mord an Jamal Khashoggi.“

Am 6. Mai entschied ein kalifornisches Gericht für Meta, die Muttergesellschaft von WhatsApp. In einem Datenschutzverfahren gegen die NSO Group sprach es Meta Schadenersatz in Höhe von 444.719 US-Dollar (390.974,71 Euro) zu. Zudem bekam das Unternehmen Strafschadenersatz in Höhe von 167,3 Millionen US-Dollar (147,04 Millionen Euro).

Die Klage von WhatsApp konzentrierte sich auf die Pegasus-Software, die laut der Klage entwickelt wurde, „um aus der Ferne installiert zu werden und den Fernzugriff […] auf Informationen“ zu ermöglichen. Dazu gehörten „Anrufe, Nachrichten und Standortdaten auf Mobilgeräten mit den Betriebssystemen Android, iOS und BlackBerry“.

Zero-Click-Angriffe und „kollaterale Ziele“

Normalnutzer würden nur gelegentlich, als Kollateralziele, attackiert. Angreifer reservierten „diese kostspieligen Exploits in der Regel für Personen, deren Informationen besonders wertvoll oder sensibel sind“, sagte Nazarovas.

Laut Nazarovas bieten Unternehmen Hackern sogenannte Bug-Bounties an. Mit diesen Fehlerkopfgeldern wollen sie diese motivieren, gefundene Exploits dem Unternehmen zu melden, und so vermeiden, dass die Hacker sie an einen Broker verkaufen, der sie dann an Parteien weiterverkauft, die sie illegal nutzen.

House sagte, die Abwehr von Zero-Click-Angriffen sei „herausfordernd“, aber einige einfache Cybersicherheitsmaßnahmen könnten das Risiko verringern. So sollten Benutzer ihre Software und Betriebssysteme „immer auf dem neuesten Stand halten“. Zudem sollten sie ihre Geräte regelmäßig neu starten und verstärkte Sicherheitsmodi wie den Lockdown-Modus von Apple verwenden. Dies sei besonders wichtig, „wenn sie glauben, ein hohes Risikoziel zu sein“, sagte er.

[etd-related posts=“4498081″]

Selbst die robustesten Abwehrmaßnahmen könnten aber „außergewöhnlich raffinierte Angriffe […] nicht immer verhindern“. Hier hebt er „hoch entwickelte staatliche Gegner“ besonders hervor.

Nazarovas zufolge sammeln viele große Technologieunternehmen wie Apple, Google und Microsoft Telemetriedaten von Milliarden Geräten. Das sind automatisch erfasste Messwerte, die von Geräten oder Software an ein zentrales System gesendet werden, um diese aus der Ferne zu überwachen und zu analysieren. Sie dienen auch zur Erkennung von Zero-Click-Exploits und anderen raffinierten Angriffen.

„Wenn Schwachstellen entdeckt werden, die solche Angriffe ermöglichen, können sie dank automatischer Updates schnell behoben und fast sofort für Milliarden von Menschen bereitgestellt werden“, so Nazarovas. Zu ergänzen bleibt: Auf dem selben Weg und ebenso schnell können neue, noch unbekannte Schwachstellen Milliarden Geräte zu potenziellen Zielen machen.

Dieser Artikel erschien im Original auf theepochtimes.com unter dem Titel „How Hackers Can Control Phones Without the User Clicking on a Link“. (redaktionelle Bearbeitung jw)