Die umstrittene Mailänder Firma Hacking Team hat am Mittwoch in einer Pressemitteilung verlauten lassen, das Unternehmen habe keinerlei Hintertüren in die Clients ihrer Staatstrojaner eingebaut: "Es gab Berichte, wonach [...] Hacking Team die Möglichkeit zur Einsicht in Operationen von Kunden oder die Fähigkeit zum Abstellen ihrer Software (des Trojaners, Anm. d. Red.) haben soll. Das ist nicht wahr".

Security-Spezialist Joseph Greenwood widerspricht dieser Darstellung. Für die Sicherheits-Firma 4armed hat er den Code des auch von der Kantonspolizei Zürich eingesetzten Trojaners "Galileo" unter die Lupe genommen. Demnach habe Hacking Team womöglich keine eigentliche versteckte Hintertür. Sehr wahrscheinlich gebe es aber trotzdem die Möglichkeit, die Trojaner-Software aus der Ferne abzuschalten. Die entsprechende Datei "rcs-kill.rb" sei Teil interner Entwicklungs-Tools und werde nicht an Kunden herausgegeben. Im Code finde sich auch eine Liste aller Wasserzeichen, mit denen die Trojaner vor ihrer Auslieferung an einzelne Kunden ausgestattet wurden, um sie finden und identifizieren zu können.

Greenwood hält den Code für eine Notbremse, die die Abschaltung ermöglicht, sollte der Trojaner weitergegeben werden. Das passt zu dem chilenischen Bericht, wonach die örtliche Firma Mipoltec den Trojaner an die chilenische Staatspolizei weiterverkauft haben soll, dieser aber nicht funktioniert habe (Link in spanisch).

Ein Open-Source-Entwickler, der an der Aufdeckung von Schwachstellen arbeitet, hat bemerkt, dass Hacking Team seine veröffentlichten Codes teilweise in einen Staatstrojaner eingebaut hat. Collin Mulliner habe ein E-Mail erhalten, in dem ihm eine Zusammenarbeit mit Hacking Team vorgeworfen wurde, schreibt ebenfalls 'Arstechnica': "Ich habe keines dieser Tools für Hacking Team entwickelt". Er sei nun auf der Suche nach einer Möglichkeit, eine Open-Source-Lizenz soweit einschränken zu können, dass die Verwendung für derartige Software nicht mehr erlaubt ist. Das verwendete Tool dient dazu, Gespräche in Hörweite infizierter Android-Handys abhören zu können.

Zu den Kunden von Hacking Team gehören unter anderem die repressiven Staaten Aserbaidschan, Sudan, Kolumbien, Ecuador, Honduras, Äthiopien, Ägypten und Kasachstan. (mik)