‘Israëlische NSO Group kan data van iCloud, Google Drive en OneDrive stelen’

Het Israëlische bedrijf NSO Group heeft tegen zijn klanten gezegd dat zijn technologie de data van gebruikers van de servers van Apple, Google, Facebook, Amazon en Microsoft kan halen. Dat stellen bronnen die bekend zijn met het verkooppraatje tegenover The Financial Times.

De NSO Group is een bedrijf dat spyware ontwikkelt voor onder meer overheden. In mei van dit jaar kwam het bedrijf nog in het nieuws nadat bleek dat hackers spyware van het bedrijf via WhatsApp op telefoons konden installeren. Het ging om de software  met de naam Pegasus, dat al jaren gebruikt wordt door inlichtingendiensten en overheden om data van smartphones te halen. Nu heeft het bedrijf dus een nieuw doel voor ogen. Het bedrijf stelt dat het de informatie die in de cloud staat opgeslagen kan verzamelen. Het gaat dan onder meer om de volledige geschiedenis van de locatiegegevens van een doelwit, gearchiveerde berichten en foto’s, aldus de bronnen, die de Financial Times voorzagen van documenten waarin het product beschreven staat.

Werking

De nieuwe techniek kopieert de authenticatiesleutels van diensten als Google Drive, Facebook Messenger en iCloud van een geïnfecteerde telefoon. Vervolgens kan een aparte server de telefoon simuleren, inclusief zijn locatie, om zo toegang te krijgen tot alle data. Op deze manier wordt er onbeperkte toegang tot de cloud-data van de apps verkregen, zonder dat er tweestapsverificatie vereist is of dat er een waarschuwingsmail op het apparaat van het doelwit verschijnt. De techniek werkt op ieder apparaat dat Pegasus kan infecteren, waaronder nieuwe iPhones en Android-toestellen.

De techniek zorgt bovendien voor doorlopende toegang tot data die naar de cloud wordt geüpload vanaf laptops, tablets en smartphones. Die toegang blijft ook bestaan als Pegasus verwijderd is van de smartphone die het infecteerde.

NSO Group ontkent beschuldigingen

De NSO Group ontkent dat het hacking- of surveillance-tools promoot voor cloud-diensten. Het bedrijf heeft echter niet ontkend dat het de mogelijkheden die in documenten beschreven staan, ontwikkeld heeft. Het bedrijf heeft verder altijd volgehouden dat zijn software alleen aan verantwoordelijke overheden verkocht wordt om terreuraanvallen en criminele activiteiten te helpen voorkomen. Onderzoekers hebben Pegasus echter weten te vinden op smartphones van mensenrechtenactivisten en journalisten wereldwijd. Daardoor zijn er vermoedens dat de software ook gebruikt wordt door onderdrukkende regimes.

Onderzoek

Beveiligingsteams van de verschillende cloudaanbieders onderzoeken de methode, die zich lijkt te richten op authenticatietechnieken die tot nu toe als veilig werden beschouwd.

Amazon zegt geen bewijs te hebben gevonden dat de software toegang heeft gehad tot zijn systemen of klant-accounts. Het bedrijf zegt echter het probleem te blijven onderzoeken en monitoren. Facebook zegt de claims te onderzoeken en Microsoft stelt dat zijn technologie “constant evolueert om de beste beschermingen voor onze klanten te blijven bieden”.

Apple reageerde door te melden dat zijn besturingssysteem het “veiligste computing-platform ter wereld” is. “Hoewel er mogelijk een paar dure tools bestaan om de aanvallen op een erg klein aantal apparaten uit te voeren, denken we niet dat deze bruikbaar zijn voor wijdverspreide aanvallen tegen onze klanten.” Google heeft geweigerd te reageren.