Wenn man wirklich schlimme Nachrichten verkünden muss, macht man dies am besten am Freitagabend. Dann sind die Journalisten beim Feierabendbier und bis am Montag ist im besten Fall schon Gras über die Sache gewachsen. Diese alte Medienweisheit kennt auch Apple. Wohl deshalb hat der Tech-Konzern am Freitag in aller Stille ein Update für iPhone- und iPad-Nutzer zur Verfügung gestellt. Eine scheinbar kleine Fehlerbehebung, die es in sich hat.
Für den Laien klang zunächst alles ganz harmlos: In einer kurzen Notiz zum Update liess Apple seine Kunden wissen, dass «ein Angreifer mit privilegierter Netzwerkposition Daten abfangen oder modifizieren könne, die durch SSL/TLS geschützt sind.» So die verklausulierte Version. Im Klartext heisst das: Kriminelle und Geheimdienste können bei öffentlichen WLAN-Verbindungen jederzeit mitlesen sowie Daten abfangen und manipulieren. Eigentlich hätte Apple schreiben müssen: «Aktualisieren Sie ihr iPhone und iPad sofort, da ihr Gerät eine schwerwiegende Sicherheitslücke aufweist, die Kriminelle ausnutzen können.»
Eine derart deutliche Warnung sprechen Firmen nur sehr ungern aus. Dann lieber die Version Fachchinesisch, die den Nutzer im Glauben lässt, es wäre alles paletti. Die Folge ist klar: Apple-User wiegen sich in falscher Sicherheit. «Die Medien verbreiten wieder Panik», lautete der Tenor der Kommentarschreiber auf unseren ersten Artikel zu diesem Thema. «Ich arbeite schon seit 20 Jahren mit Mac (Desktop) und hatte noch NIE Probleme», antwortete ein Apple-Nutzer. Ein weit verbreiteter Irrglaube. Lücken werden auch bei Apple-Geräten unauffällig und heimlich ausgenutzt, ohne dass die Opfer Wind davon bekommen.
watson hat die Tragweite am Samstag richtig gewichtet und Apple-User mit einer Push-Nachricht gewarnt.
In der Tat können Kriminelle und Geheimdienste problemlos beim iPhone und iPad mitlesen, wenn sich die Angreifer im selben WLAN befinden – etwa im Starbucks, im Büro, am Flughafen oder in einem Zug. E-Mails, Videogespräche, Webseiten, E-Banking-Daten etc. liegen den Online-Kriminellen auf dem Präsentierteller bereit.
Vom Datendiebstahl bemerken die Opfer, meist Firmen, in aller Regel lange nichts. Das neuste Update vom Freitag schliesst diese Lücke im iPhone und iPad. Das Alarmierende: Das Leck in Apples Betriebssystem soll laut Sicherheitsforschern seit September 2012 bestanden haben, also fast eineinhalb Jahre. In all der Zeit waren zig Millionen ohne Schutz und niemand weiss, wie oft die Lücke missbraucht worden ist.
RT @wiretapped: congrats to the Apple iOS team on adding SSL/TLS hostname checking in their latest update! very cool feature.
— Marc Ruef (@mruef) February 22, 2014
I'm not going to talk details about the Apple bug except to say the following. It is seriously exploitable and not yet under control.
— Matthew Green (@matthew_d_green) February 21, 2014
Ok, yes, the iOS/OS X bug does break SSL completely. Like @matthew_d_green I'm going to keep quiet. Patch quickly.
— Adam Langley (@agl__) February 22, 2014
@olibach Auch erwähnen sollte man, dass das iOS-Update nicht forciert wird und auch nicht für alle iOS-Geräte zur Verfügung steht … :|
— Martin Steiger (@martinsteiger) February 24, 2014
Nebenbei bemerkt: Das mit der aktuellen Betriebssystemversion Mavericks. Nur gibt es für den Mac bislang kein Update, das die Lücke schliessen würde. Sich mit dem MacBook in ein öffentliches WLAN einzuloggen, ist daher alles andere als empfehlenswert. gleiche Sicherheitsleck versteckt sich auch in Macs
Öffentliche WLANs sollten generell gemieden werden. Doch gerade Geschäftsleute sind oft in Zügen oder Flughäfen darauf angewiesen. Allein dies sollte klar machen, welche schwerwiegenden Folgen Apples Fehler bereits verursacht haben könnte – das Stichwort heisst Industriespionage.
Über das Wochenende durchleuchteten private Sicherheitsforscher den GoToFail-Bug: Betroffen von der Sicherheitslücke sind offenbar nicht nur der Webbrowser Safari, sondern weitere Apple-Programme, die ihre Verbindung mit SSL verschlüsseln. Zu den potenziell unsicheren Programmen auf dem Mac gehören FaceTime, iMessage, Twitter, Calendar, Keynote, Apple Mail, iBooks und weitere, schreibt der Apple-Blog Macrumors.com.
.@grittygrease @csoghoian It's not just Safari — using any Mail.app, iCal, or any service that relies on TLS on the iPhone/Mac is vulnerable
— ashkan soltani (@ashk4n) February 22, 2014
Zahlreiche Tech-Portale in den USA handelten die massive Sicherheitslücke am Wochenende als Randnotiz ab. Das bekannte Tech-Portal Mashable titelte in Apples Sinne: «Apple veröffentlicht Update für iOS 7, iOS 6». Dass es sich dabei mit grosser Wahrscheinlichkeit um die gravierendste Sicherheitslücke in Apple-Geräten seit Jahren handelt, würde bei einer derart verharmlosenden Schlagzeile wohl kein Leser vermuten.
Herr Friedli, Angreifer kommen nur an Daten, wenn sich das Opfer in einem öffentlichen WLAN befindet. Also ist alles nur halb so wild?
Stefan Friedli: Im Alltag sind alle öffentlichen Orte mit einem WLAN wahrscheinliche Szenarien für das Abgreifen oder Manipulieren von Daten. Wir stufen das Risiko daher als happig ein.
Wie können Kriminelle oder Geheimdienste die Lücke in Apple-Geräten ausnutzen?
Nehmen wir die Situation im Starbucks oder am Flughafen, wo sich mehrere Handys oder Tablets im selben lokalen WLAN befinden. Der Angreifer drängt sich dort zwischen das Gerät des Nutzers und die Webseite, die er aufzurufen versucht, zum Beispiel Gmail.com. Er liest sämtliche Daten mit und schickt sie dann an das richtige Gmail.com weiter. Dasselbe passiert mit der Antwort, die man zurückbekommt.
Das heisst konkret?
Apples Fehler in der SSL-Verschlüsselung ermöglicht Kriminellen eine sogenannte Man-in-the-Middle-Attacke. Der Angreifer kann sämtliche über das WLAN verschickte Daten, inklusive Passwörtern, speichern und sogar in Echtzeit Daten manipulieren, bevor sie wieder beim Benutzer ankommen.
Geschäftsleute, die mit ihrem iPad oder MacBook ständig öffentliche WLANs nutzen, haben also ein Problem.
Ja. Leute, die oft unterwegs sind, an Flughäfen oder in Cafés arbeiten und sich auf SSL als einziges Sicherheitsmerkmal beschränken, dürften momentan eher unruhig schlafen. Man kann das mit dem Gefühl beschreiben, das jemand hat, wenn er aus den Ferien zurückkommt und feststellen muss, dass er zwar pflichtbewusst alle Türen abgeschlossen hatte, die Fenster aber sperrangelweit offen stehen liess.
Einige Unternehmen erfordern daher zwingend, dass ihre Mitarbeiter eine VPN-Verbindung nutzen, um in solchen Situationen aufs Internet zugreifen zu können. Das mindert das Risiko etwas. Der Durchschnittsnutzer, der direkt via öffentlichem WiFi arbeitet, ist direkt angreifbar.
Ist das die grösste je entdeckte Lücke bei Apple?
Ich denke, dass dies seit der iPhone-Ära wohl die Schwachstelle mit den vielfältigsten und weitreichendsten Auswirkungen im Hinblick auf die Anzahl betroffener Benutzer ist – gerade weil das Ausnutzen relativ einfach zu bewerkstelligen ist.
Wurde die Lücke von Kriminellen bereits ausgenutzt?
Vermutlich wurde die Schwachstelle schon länger aktiv ausgenutzt, bevor sie nun endlich bekannt wurde. Denkbar ist, dass man die Lücke nur sehr, sehr selektiv ausgenutzt hat, um eine Entdeckung zu vermeiden. Im Allgemeinen gilt eine Schwachstelle in dem Moment als «burned», wo sie öffentlich eingesetzt wird, weil sie dann vermutlich auch über kurz oder lang entdeckt wird.
Apple hat bei der SSL-Verschlüsselung bei iOS (iPhone, iPad, iPod touch) sowie beim Mac-Betriebssystem den gleichen Fehler gemacht. Ist das ein Zufall oder steckt mehr dahinter?
iOS für das iPhone und OSX für den Mac sind relativ eng verwandt. Als Steve Jobs vor Jahren das erste iPhone ankündigte, nannte er das damals noch namenlose Betriebssystem sogar noch OSX. Von daher ist es gut möglich, dass hier die selbe Codebasis zum Einsatz kommt. Alles andere wäre an der Stelle wohl über der Grenze zur Verschwörungstheorie.
Der Fehler in der Verschlüsselung besteht laut Sicherheitsspezialisten seit der Lancierung von iOS 6 im September 2012. Gemäss Edward Snowdens Dokumenten wurde Apple im Oktober 2012 ins Spionageprogramm PRISM der NSA aufgenommen. Nur ein Zufall?
Dass die NSA die Schwachstelle ins Betriebssystem einpflanzte, mit oder ohne Apples Wissen, geht in den Bereich der Verschwörungstheorie: Es ist möglich, aber im Moment nicht zu belegen. Darum macht es meines Erachtens keinen Sinn, diese Theorien aktiv zu verfolgen. Das würde sich rapide ändern, wenn auf einmal entsprechende Beweise, zum Beispiel aus den Snowden-Dokumenten, auftauchen würden.
Man hört immer wieder von Sicherheitslücken in Betriebssystemen. Warum ist der aktuelle Fall so gravierend?
Banken und Onlinehändler haben ihre Kunden jahrelang darauf hingewiesen, dass es Sinn macht, zu prüfen, ob das kleine Schloss, das eine SSL-verschlüsselte Verbindung kennzeichnet, im Browser dargestellt wird. Ebenfalls haben Dienste wie Twitter und Facebook über die Jahre hinweg und auf grossen Druck von Sicherheitsfachleuten endlich nachgegeben und SSL flächendeckend für ihre Dienste eingesetzt. Darum ist die Schwachstelle so desaströs: Sie schadet dem Vertrauen in SSL in höchstem Masse.
Wie funktioniert diese Man-in-the-Middle-Attacke?
Ganz vereinfacht gesagt, kann man sich das wie eine Ausweiskontrolle am Postschalter beim Abholen eines eingeschriebenen Paketes vorstellen: Der Postbeamte prüft einen Ausweis (SSL-Zertifikat), das von einer vertrauenswerten Stelle, zum Beispiel einem Passbüro (Zertifizierungsstelle) ausgestellt wurde und das belegt, dass ich die Person bin, die ich vorgebe zu sein. Der Bug ist nun, um bei dieser Analogie zu bleiben, dass ein Postbeamter zwar einen Ausweis verlangt, aber konstant ignoriert, ob der darauf stehende Name effektiv dem Namen des Empfängers entspricht.
SSL war de facto eine der signifikantesten Errungenschaften, um diese Man-in-the-Middle-Attacke einzuschränken. Deshalb ist Apples Schwachstelle so gravierend.