Mit Sherlock hat der israelische Software-Hersteller Insanet ein komplettes kommerzielles Spähprodukt im Angebot, um Opfer mithilfe von Online-Bannern zu verfolgen, sich in ihre Telefone und Computer zu hacken und sie auszuspionieren. Dies berichtet die israelische Zeitung Haaretz. Die Firma, die ihre Wurzeln – wie viele andere Spyware-Unternehmen aus Israel – im militärisch-industriellen Komplex und Sicherheitsbereich hat, macht sich demnach für das Aufspüren potenziell Betroffener perfiderweise das System der gezielten Online-Werbung mit Targeting und Tracking zunutze. Zudem funktioniere Sherlock weitgehend betriebssystemübergreifend auf Windows-Rechnern, Apple iPhones und Smartphones mit Android. Das Verbreiten von Schadcode über harmlos wirkende Werbebanner („Malvertising“) ist prinzipiell nichts Neues. IT-Sicherheitsexperten beobachten seit Anfang des Jahres immer mehr einschlägige Kampagnen auf Google über das hauseigene Werbesystem Google Ads, mit denen Angreifer versuchen, Geräte von Endnutzern mit Schadsoftware zu infizieren. Damit ist es in der Regel etwa möglich, Daten von Kontakten, Login-Kennungen und andere sensible Informationen von verseuchten Rechnern oder Handys zu stehlen. Dass ein komplexer Staatstrojaner mit der Möglichkeit, IT-Systeme vollständig inklusive laufender und gespeicherter Kommunikation heimlich zu überwachen, per Malvertising ausgespielt wird, war dem Bericht zufolge bislang öffentlich aber unbekannt. Um Sherlock zu vermarkten, hat sich Insanet der Zeitung zufolge mit Candiru zusammengetan. Das ist ein weiterer in Israel sitzender Spyware-Hersteller, der primär eine Spähsoftware vertreibt, die dem bekannten Staatstrojaner Pegasus der israelischen NSO Group ähnelt. Haaretz zitiert aus einem Candiru-Werbeprospekt, wonach Sherlock Windows-PCs genauso infizierten könne wie Smartphones mit den beiden gängigsten Betriebssystemen. Bisher habe sich Candiru auf die Desktop-Welt spezialisiert, die NSO Group auf iPhones und ihre Wettbewerber auf Android-Mobiltelefone. Mit dem Insanet-System lasse sich dagegen schier jedes Gerät effektiv hacken. Jason Kelley von der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) bezeichnete das Setzen auf die Werbetechnologie durch Insanet gegenüber dem Online-Magazin The Register als besonders besorgniserregend. Zwielichtige Online-Werbung setze etwa auf sorgfältig gestaltete Bilder oder JavaScript in den Anzeigen, die Schwachstellen in Browsern und Betriebssystemen ausnutzten. Sie könne aber auch dazu verwendet werden, gezielt bestimmte Personengruppen anzugreifen wie Nutzer, die sich für Open Source interessieren oder häufig nach Asien reisen. Ein breites Verbot solcher „Schnüffelwerbung“ scheiterte in der EU bei den Verhandlungen über den Digital Services Act (DSA). Bei Online-Targeting seien kommerziell verfügbare Daten im Spiel, „die sich nur sehr schwer aus dem Internet löschen lassen“, erklärte Kelley. „Die meisten Menschen haben keine Ahnung, wie viele ihrer Informationen von Datenbrokern und Ad-Tech-Unternehmen gesammelt oder weitergegeben wurden.“ Einzige Hürde für Sherlock-Interessenten sei, dass das Überwachungssystem mit den berichteten Kosten von sechs Millionen Euro pro Infektion einen stolzen Preis habe und so nicht massenkompatibel sei. Dennoch gebe es nun „eine weitere Möglichkeit für Spyware-Unternehmen, Aktivisten, Reporter und Regierungsbeamte zu überwachen und ins Visier zu nehmen“. Laut Haaretz soll Sherlock nur mit speziellen, vom israelischen Verteidigungsministerium freigegebenen Lizenzen exportiert werden dürfen. Trotzdem sei das Spähsystem schon an ein nicht-demokratisches Land verkauft worden.