Digital
Apple

Apple-User sind Kriminellen und Geheimdiensten seit eineinhalb Jahren schutzlos ausgeliefert – und die Situation bleibt kritisch

Millionen Apple-Geräte standen und stehen zum Teil immer noch offen wie ein Scheunentor: Schuld ist eine einzige Codezeile, die die SSL-Verschlüsselung im iPhone, iPad und Mac aushebelt.
Millionen Apple-Geräte standen und stehen zum Teil immer noch offen wie ein Scheunentor: Schuld ist eine einzige Codezeile, die die SSL-Verschlüsselung im iPhone, iPad und Mac aushebelt.Bild: Spiegel Online
Massive Sicherheitslücke gotofail

Apple-User sind Kriminellen und Geheimdiensten seit eineinhalb Jahren schutzlos ausgeliefert – und die Situation bleibt kritisch

«Diese Schwachstelle in Apple-Geräten ist desaströs», sagt der Schweizer Sicherheitsspezialist Stefan Friedli im Interview mit watson. Über Safari, Apple Mail, iCloud etc. haben Hacker freien Zugang auf iPhones, iPads und Macs. Es handelt sich um die gravierendste Lücke in der iPhone-Ära – noch nie waren so viele User gefährdet.
24.02.2014, 10:5724.02.2014, 15:51
No Components found for watson.skyscraper.
Mehr «Digital»

Wenn man wirklich schlimme Nachrichten verkünden muss, macht man dies am besten am Freitagabend. Dann sind die Journalisten beim Feierabendbier und bis am Montag ist im besten Fall schon Gras über die Sache gewachsen. Diese alte Medienweisheit kennt auch Apple. Wohl deshalb hat der Tech-Konzern am Freitag in aller Stille ein Update für iPhone- und iPad-Nutzer zur Verfügung gestellt. Eine scheinbar kleine Fehlerbehebung, die es in sich hat. 

Für den Laien klang zunächst alles ganz harmlos: In einer kurzen Notiz zum Update liess Apple seine Kunden wissen, dass «ein Angreifer mit privilegierter Netzwerkposition Daten abfangen oder modifizieren könne, die durch SSL/TLS geschützt sind.» So die verklausulierte Version. Im Klartext heisst das: Kriminelle und Geheimdienste können bei öffentlichen WLAN-Verbindungen jederzeit mitlesen sowie Daten abfangen und manipulieren. Eigentlich hätte Apple schreiben müssen: «Aktualisieren Sie ihr iPhone und iPad sofort, da ihr Gerät eine schwerwiegende Sicherheitslücke aufweist, die Kriminelle ausnutzen können.»

watson hat Apple-User per Push gewarnt 

«Lücken werden auch bei Apple-Geräten unauffällig und heimlich ausgenutzt, ohne dass die Opfer Wind davon bekommen.»

Eine derart deutliche Warnung sprechen Firmen nur sehr ungern aus. Dann lieber die Version Fachchinesisch, die den Nutzer im Glauben lässt, es wäre alles paletti. Die Folge ist klar: Apple-User wiegen sich in falscher Sicherheit. «Die Medien verbreiten wieder Panik», lautete der Tenor der Kommentarschreiber auf unseren ersten Artikel zu diesem Thema. «Ich arbeite schon seit 20 Jahren mit Mac (Desktop) und hatte noch NIE Probleme», antwortete ein Apple-Nutzer. Ein weit verbreiteter Irrglaube. Lücken werden auch bei Apple-Geräten unauffällig und heimlich ausgenutzt, ohne dass die Opfer Wind davon bekommen. 

watson hat die Tragweite am Samstag richtig gewichtet und Apple-User mit einer Push-Nachricht gewarnt.  

Seit Herbst 2012 offen wie ein Scheunentor 

In der Tat können Kriminelle und Geheimdienste problemlos beim iPhone und iPad mitlesen, wenn sich die Angreifer im selben WLAN befinden – etwa im Starbucks, im Büro, am Flughafen oder in einem Zug. E-Mails, Videogespräche, Webseiten, E-Banking-Daten etc. liegen den Online-Kriminellen auf dem Präsentierteller bereit.  

Vom Datendiebstahl bemerken die Opfer, meist Firmen, in aller Regel lange nichts. Das neuste Update vom Freitag schliesst diese Lücke im iPhone und iPad. Das Alarmierende: Das Leck in Apples Betriebssystem soll laut Sicherheitsforschern seit September 2012 bestanden haben, also fast eineinhalb Jahre. In all der Zeit waren zig Millionen ohne Schutz und niemand weiss, wie oft die Lücke missbraucht worden ist. 

Auch Macs betroffen – Apple verspricht Update

Nebenbei bemerkt: Das gleiche Sicherheitsleck versteckt sich auch in Macs mit der aktuellen Betriebssystemversion Mavericks. Nur gibt es für den Mac bislang kein Update, das die Lücke schliessen würde. Sich mit dem MacBook in ein öffentliches WLAN einzuloggen, ist daher alles andere als empfehlenswert. 

Öffentliche WLANs sollten generell gemieden werden. Doch gerade Geschäftsleute sind oft in Zügen oder Flughäfen darauf angewiesen. Allein dies sollte klar machen, welche schwerwiegenden Folgen Apples Fehler bereits verursacht haben könnte – das Stichwort heisst Industriespionage. 

Über das Wochenende durchleuchteten private Sicherheitsforscher den GoToFail-Bug: Betroffen von der Sicherheitslücke sind offenbar nicht nur der Webbrowser Safari, sondern weitere Apple-Programme, die ihre Verbindung mit SSL verschlüsseln. Zu den potenziell unsicheren Programmen auf dem Mac gehören FaceTime, iMessage, Twitter, Calendar, Keynote, Apple Mail, iBooks und weitere, schreibt der Apple-Blog Macrumors.com.

Um ein Haar wäre Apples PR-Trick aufgegangen 

Zahlreiche Tech-Portale in den USA handelten die massive Sicherheitslücke am Wochenende als Randnotiz ab. Das bekannte Tech-Portal Mashable titelte in Apples Sinne: «Apple veröffentlicht Update für iOS 7, iOS 6». Dass es sich dabei mit grosser Wahrscheinlichkeit um die gravierendste Sicherheitslücke in Apple-Geräten seit Jahren handelt, würde bei einer derart verharmlosenden Schlagzeile wohl kein Leser vermuten.  

«Diese Schwachstelle ist desaströs.»

Der Schweizer IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip äussert sich zum aktuellen Leck bei Apple-Geräten. 

Stefan Friedli, IT-Experte bei Scip.
Stefan Friedli, IT-Experte bei Scip.Bild: zvg

Herr Friedli, Angreifer kommen nur an Daten, wenn sich das Opfer in einem öffentlichen WLAN befindet. Also ist alles nur halb so wild?
Stefan Friedli:
 Im Alltag sind alle öffentlichen Orte mit einem WLAN wahrscheinliche Szenarien für das Abgreifen oder Manipulieren von Daten. Wir stufen das Risiko daher als happig ein. 

Wie können Kriminelle oder Geheimdienste die Lücke in Apple-Geräten ausnutzen? 
Nehmen wir die Situation im Starbucks oder am Flughafen, wo sich mehrere Handys oder Tablets im selben lokalen WLAN befinden. Der Angreifer drängt sich dort zwischen das Gerät des Nutzers und die Webseite, die er aufzurufen versucht, zum Beispiel Gmail.com. Er liest sämtliche Daten mit und schickt sie dann an das richtige Gmail.com weiter. Dasselbe passiert mit der Antwort, die man zurückbekommt.

Das heisst konkret? 
Apples Fehler in der SSL-Verschlüsselung ermöglicht Kriminellen eine sogenannte Man-in-the-Middle-Attacke. Der Angreifer kann sämtliche über das WLAN verschickte Daten, inklusive Passwörtern, speichern und sogar in Echtzeit Daten manipulieren, bevor sie wieder beim Benutzer ankommen. 

«Man kann das mit dem Gefühl beschreiben, wenn jemand aus den Ferien zurückkommt und feststellen muss, dass er zwar pflichtbewusst alle Türen abgeschlossen hatte, die Fenster aber sperrangelweit offen stehen liess. »

Geschäftsleute, die mit ihrem iPad oder MacBook ständig öffentliche WLANs nutzen, haben also ein Problem. 
Ja. Leute, die oft unterwegs sind, an Flughäfen oder in Cafés arbeiten und sich auf SSL als einziges Sicherheitsmerkmal beschränken, dürften momentan eher unruhig schlafen. Man kann das mit dem Gefühl beschreiben, das jemand hat, wenn er aus den Ferien zurückkommt und feststellen muss, dass er zwar pflichtbewusst alle Türen abgeschlossen hatte, die Fenster aber sperrangelweit offen stehen liess. 

Einige Unternehmen erfordern daher zwingend, dass ihre Mitarbeiter eine VPN-Verbindung nutzen, um in solchen Situationen aufs Internet zugreifen zu können. Das mindert das Risiko etwas. Der Durchschnittsnutzer, der direkt via öffentlichem WiFi arbeitet, ist direkt angreifbar.

Ist das die grösste je entdeckte Lücke bei Apple?
Ich denke, dass dies seit der iPhone-Ära wohl die Schwachstelle mit den vielfältigsten und weitreichendsten Auswirkungen im Hinblick auf die Anzahl betroffener Benutzer ist – gerade weil das Ausnutzen relativ einfach zu bewerkstelligen ist.

Wurde die Lücke von Kriminellen bereits ausgenutzt? 
Vermutlich wurde die Schwachstelle schon länger aktiv ausgenutzt, bevor sie nun endlich bekannt wurde. Denkbar ist, dass man die Lücke nur sehr, sehr selektiv ausgenutzt hat, um eine Entdeckung zu vermeiden. Im Allgemeinen gilt eine Schwachstelle in dem Moment als «burned», wo sie öffentlich eingesetzt wird, weil sie dann vermutlich auch über kurz oder lang entdeckt wird.  

Apple hat bei der SSL-Verschlüsselung bei iOS (iPhone, iPad, iPod touch) sowie beim Mac-Betriebssystem den gleichen Fehler gemacht. Ist das ein Zufall oder steckt mehr dahinter? 
iOS für das iPhone und OSX für den Mac sind relativ eng verwandt. Als Steve Jobs vor Jahren das erste iPhone ankündigte, nannte er das damals noch namenlose Betriebssystem sogar noch OSX. Von daher ist es gut möglich, dass hier die selbe Codebasis zum Einsatz kommt. Alles andere wäre an der Stelle wohl über der Grenze zur Verschwörungstheorie. 

«Dass die NSA die Schwachstelle ins Betriebssystem einpflanzte, mit oder ohne Apples Wissen, gehört in den Bereich der Verschwörungstheorie.»

Der Fehler in der Verschlüsselung besteht laut Sicherheitsspezialisten seit der Lancierung von iOS 6 im September 2012. Gemäss Edward Snowdens Dokumenten wurde Apple im Oktober 2012 ins Spionageprogramm PRISM der NSA aufgenommen. Nur ein Zufall? 
Dass die NSA die Schwachstelle ins Betriebssystem einpflanzte, mit oder ohne Apples Wissen, geht in den Bereich der Verschwörungstheorie: Es ist möglich, aber im Moment nicht zu belegen. Darum macht es meines Erachtens keinen Sinn, diese Theorien aktiv zu verfolgen. Das würde sich rapide ändern, wenn auf einmal entsprechende Beweise, zum Beispiel aus den Snowden-Dokumenten, auftauchen würden. 

Man hört immer wieder von Sicherheitslücken in Betriebssystemen. Warum ist der aktuelle Fall so gravierend? 
Banken und Onlinehändler haben ihre Kunden jahrelang darauf hingewiesen, dass es Sinn macht, zu prüfen, ob das kleine Schloss, das eine SSL-verschlüsselte Verbindung kennzeichnet, im Browser dargestellt wird. Ebenfalls haben Dienste wie Twitter und Facebook über die Jahre hinweg und auf grossen Druck von Sicherheitsfachleuten endlich nachgegeben und SSL flächendeckend für ihre Dienste eingesetzt. Darum ist die Schwachstelle so desaströs: Sie schadet dem Vertrauen in SSL in höchstem Masse.  

Wie funktioniert diese Man-in-the-Middle-Attacke? 
Ganz vereinfacht gesagt, kann man sich das wie eine Ausweiskontrolle am Postschalter beim Abholen eines eingeschriebenen Paketes vorstellen: Der Postbeamte prüft einen Ausweis (SSL-Zertifikat), das von einer vertrauenswerten Stelle, zum Beispiel einem Passbüro (Zertifizierungsstelle) ausgestellt wurde und das belegt, dass ich die Person bin, die ich vorgebe zu sein. Der Bug ist nun, um bei dieser Analogie zu bleiben, dass ein Postbeamter zwar einen Ausweis verlangt, aber konstant ignoriert, ob der darauf stehende Name effektiv dem Namen des Empfängers entspricht. 

SSL war de facto eine der signifikantesten Errungenschaften, um diese Man-in-the-Middle-Attacke einzuschränken. Deshalb ist Apples Schwachstelle so gravierend. 

Wie sich Apple-User schützen können
Mit Macs sollten Sie bis auf weiteres in öffentlichen WLANs in Cafés, Büros, Schulen, Zügen oder Flughäfen keine sensiblen Daten via Safari, iCloud, FaceTime etc. übertragen. Insbesondere auch keine E-Banking-Transaktionen. 

Generell gilt: In öffentlichen WLANs sollte man nie sensible Daten übertragen, auch nicht mit Android- oder Windows-Geräten.

Wenn Sie das neuste Update vom Wochenende für iOS 6 und iOS 7 installiert haben, sollte ihr iPhone, iPad oder iPod touch sicher sein.
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
13 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
13
Nvidia präsentiert neuen «KI-Superchip»
Der Chipkonzern Nvidia will die führende Rolle bei Technik für Anwendungen mit Künstlicher Intelligenz mit einer neuen Generation seiner Computerplattform ausbauen.

Nvidia sieht das System mit dem Namen Blackwell als «Antrieb einer neuen industriellen Revolution» durch KI. Das System sei beim Anlernen von Künstlicher Intelligenz vier Mal leistungsstärker als die aktuelle Generation Grace Hopper.

Zur Story