Commerciële spyware-verkopers blijken de grootste ontwikkelaars van zeroday-kwetsbaarheden te zijn. Via deze kwetsbaarheden kan spyware zoals Pegasus en Predator op toestellen wereldwijd worden geïnstalleerd. Dit blijkt uit een rapport van Google, het techbedrijf vraagt zelf om grotere acties tegen de praktijken van de spyware-industrie. Die acties moeten alleen gedragen worden door overheden, terwijl zij net zelf koper zijn van de spyware.
De Threat Analysis Group (TAG) bij Google heeft vorig jaar de activiteiten van 40 commerciële spyware-verkopers (CSV’s) nauwlettend in de gaten gehouden. Met de studie stelt TAG vast dat deze verkopers verantwoordelijk zijn voor 80 procent van de zeroday-kwetsbaarheden die in 2023 door TAG gevonden werden. De verkopers zochten de kwetsbaarheid dus en misbruikten deze ook. De exploitatie had als doel het bespioneren van toestellen over de hele wereld.
Pegasus en Predator
In het rapport noemt TAG verschillende van deze CSV’s bij naam. Het zou onder meer gaan over Cy4Gate, RCS Lab, Negg Group en Variston. Intellexa wordt ook genoemd met de Predator-spyware. Deze spyware kwam eind vorig jaar naar aanleiding van een onderzoek van Amnesty International in de belangstelling. Predator zou door minstens 25 landen aangekocht zijn en ingezet zijn om politici uit de VS en de EU te bespieden.
Een andere, wellicht nog bekendere verkoper is NSO Group. Dit bedrijf kwam volop in het nieuws na de ontdekking van Pegasus-spyware. Deze software kwam aan het licht nadat Apple Europese topambtenaren contacteerde over mogelijke spionage via hun Apple-toestellen.
Slechts een fractie van de werkelijkheid
Commerciële spyware-verkopers blijken zich door de jaren heen meer en meer op zeroday-kwetsbaarheden te zijn gaan richten. Over tien jaar heen kan Google namelijk 35 van de 72 gevonden en uitgebuite zeroday-kwetsbaarheden toeschrijven aan deze verkopers.
Over een periode van tien jaar haalt het percentage dus niet eens de vijftig procent. Vorig jaar was dat echter al opgelopen tot 80 procent. Voornamelijk de laatste jaren zullen deze commerciële verkopers dus hun activiteiten om zeroday-kwetsbaarheden te vinden en uit te buiten, hebben opgeschaald.
Toch is er ook een andere mogelijke conclusie. De studie van TAG gaat namelijk uit van de gevonden zeroday-kwetsbaarheden. Mogelijks vinden de onderzoekers de laatste jaren meer van dergelijke kwetsbaarheden.
TAG merkt hier zelf over op dat de studie de werkelijke situatie dus onderbelicht. “Dit is een schatting die de situatie onderschat, omdat deze alleen bekende zeroday-exploits weerspiegelt. Het werkelijke aantal zeroday-exploits ontwikkeld door CSV’s die Google-producten targeten, is vrijwel zeker hoger als rekening wordt gehouden met exploits die door CSV’s worden gebruikt en die niet door onderzoekers zijn gedetecteerd, exploits waarvan de toeschrijving onbekend is en gevallen waarin een kwetsbaarheid is gepatcht voordat onderzoekers aanwijzingen ontdekten van uitbuiting in het wild.”
Commercieel te aantrekkelijk
De ontwikkeling en verkoop van spyware die zeroday’s misbruikt in Android en iOS, is volgens Google een te aantrekkelijk verdienmodel. De verkopers zouden licenties voor de spyware kunnen verkopen voor miljoenen dollars. De ontdekking door TAG of andere onderzoekers zorgt dat een patch voor het probleem kan worden ontwikkeld. Dat zet echter geen rem op CSV’s, aldus Google. De verkopers vinden wel een nieuwe manier om in te breken op de toestellen en een weg rond de patch. Dat brengt nieuwe kosten met zich mee om opnieuw een weg rond te patch te vinden, alleen zou dat bedrag niets zijn in vergelijking met de miljoenen die zij verdienen aan de verkoop van licenties.
De onderzoekers weten dat het ontdekken en fixen van kwetsbaarheden alleen niet genoeg is. Daarom wordt er gevraag om meer actie te ondernemen tegen de spyware-industrie. Er wordt geopperd dat regeringen nauwer samenwerken om strikte richtlijnen voor het gebruik van spyware op te stellen.
Overheden kopen
Een oplossing vanuit de EU werd na het Pegasus-verhaal al opgezet. Hiertoe werden spionagewetten opgesteld waardoor overheden de verkoop van spyware moeten goedkeuren. Uit de ontdekking van Predator blijkt echter dat verschillende landen deze regels niet goed naleven. De oproep van Google’s TAG is daarmee zeker terecht.
Of er snel actie komt is echter de vraag. Uit het rapport komt verder namelijk naar voren dat net overheden ook een grote afnemer zijn van deze spyware-licenties. Dat zal eerst moeten veranderen of duidelijke uitzonderingsregels krijgen moeten krijgen van situaties waarin spyware wel is toegestaan. Dan pas kunnen overheden serieus regels opstellen om spyware aan banden te leggen. “Zolang er vraag is van overheden om commerciële surveillancetechnologie te kopen, zullen CSV’s spyware blijven ontwikkelen en verkopen.”
Lees ook: 25 landen kochten Europese spyware om EU-policiti te bespieden