Digital
Videos

Heute hacken wir einen Mac. Geht nicht? Geht doch! 

Und Sie? Update schon gemacht?

Heute hacken wir einen Mac. Geht nicht? Geht doch! 

Millionen Macs, iPhones und iPads stehen seit Monaten offen wie Scheunentore. Wer das aktuelle Sicherheits-Update jetzt noch nicht installiert hat, sollte dies schleunigst nachholen. Wir haben einen Hacker auf einen watson-Mitarbeiter angesetzt, der Updates lieber wegklickt, als sie zu installieren. Die unangenehmen Folgen sehen Sie im Video.
01.03.2014, 11:5026.10.2015, 09:54
Folge mir
Gelöschter Benutzer
Folge mir
Mehr «Digital»

Die Zutaten für unser Hacking-Experiment sind rasch zur Hand:

  • Apple hat vor einer Woche eine massive Sicherheitslücke im Mac, iPhone und iPad eingestanden. 
  • watson-Mitarbeiter Can Külahcigil, den wir hacken wollen, besitzt ein MacBook sowie ein iPhone. 
  • Wie viele andere Mac-User installierte auch Can nur alle Jubeljahre ein Sicherheits-Update. 
  • Wir haben mit Stefan Friedli einen Computer-Fachmann für unseren Hacker-Angriff gewonnen, der von Berufs wegen Firmen hackt. Kann er auch das MacBook von unserem Redaktor hacken?
Wir haben das neuste Update installiert, unser Kollege und watson-Mitarbeiter Can Külahcigil jedoch nicht.Bild: watson
watson-Redaktor und Apple-User Can Külahcigil (im Hintergrund) in einem Café in Zürich: Wir haben Hacker Stefan Friedli (im Vordergrund) auf ihn angesetzt. Unser Arbeitskollege weiss, dass w ...
watson-Redaktor und Apple-User Can Külahcigil (im Hintergrund) in einem Café in Zürich: Wir haben Hacker Stefan Friedli (im Vordergrund) auf ihn angesetzt. Unser Arbeitskollege weiss, dass wir ihn hacken wollen, glaubt aber noch nicht so ganz an den Erfolg.Bild: watson

1. Eine gravierende Sicherheitslücke

Seit Monaten gibt es in Apple-Geräten eine kritische Sicherheitslücke genannt «goto fail». Kriminelle und Geheimdienste, die allenfalls seit langem davon wussten, konnten Apple-Nutzer unbemerkt ausspionieren: E-Mails, Facebook, E-Banking, Facetime-Gespräche etc. Panik ist trotzdem nicht angezeigt: Im Alltag ist nur gefährdet, wer in Cafés, im Zug oder an Flughäfen ein öffentliches WLAN nutzt und das neuste Update nicht installiert hat.

Apple-Geräte, die nicht auf dem neusten Stand sind, können gehackt werden, wenn sich der Nutzer in einem öffentlichen WLAN befindet: Schuld ist eine einzige Codezeile, welche die Verschlüsselung im iP ...
Apple-Geräte, die nicht auf dem neusten Stand sind, können gehackt werden, wenn sich der Nutzer in einem öffentlichen WLAN befindet: Schuld ist eine einzige Codezeile, welche die Verschlüsselung im iPhone, iPad und Mac aushebelt.Bild: Spiegel Online

2. Ein verspätetes Update

Am Freitag vor einer Woche veröffentlichte Apple in aller Stille ein wichtiges Sicherheits-Update für das iPhone und iPad. Vier Tage später reichte der Tech-Konzern auch für Mac-Nutzer eine Aktualisierung nach, die die «goto fail»-Lücke stopft. Das Problem: Die Schwachstelle hatte beim iPhone bereits seit September 2012 bestanden, beim Mac seit Dezember 2013.

3. Update-faule User

Eine Woche ist seit dem iOS-Update verstrichen: Doch bis jetzt haben nur rund die Hälfte der iPhone- und iPad-Nutzer auf die neuste Version iOS 7.0.6 aktualisiert, wie ein Blick in die Betriebssystem-Statistik zeigt. Beim Mac hat vermutlich erst ein Bruchteil der User das wichtige Update 10.9.2 installiert. Millionen Apple-Geräte sind also weiter angreifbar.

4. Apples Krisen-Kommunikation

An der schlechten Update-Quote sind nicht nur die User schuld: Apple selbst tut wenig, um seinen Kunden die Dringlichkeit kritischer Aktualisierungen zu vermitteln. In einer kurzen Notiz heisst es vage: «Das Update 10.9.2 wird allen Benutzern von OS X Mavericks empfohlen. Es verbessert die Stabilität und die Sicherheit ihres Mac.» Eine eindringliche Warnung klingt anders.

5. Unvorsichtige User

watson-Mitarbeiter Can Külahcigil gehört zum Schlag unbeschwerter Menschen, die auch mal am Flughafen in Istanbul ins E-Banking einloggen. Keine gute Idee! Kriminelle nutzen Orte mit öffentlichen WLANs, etwa die Business Lounge eines Flughafens oder die erste Klasse im Zug zwischen Bern und Zürich, um sich in fremde Geräte zu hacken. 

Die Folgen des Apple-Fehlers: IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip fängt die Passwörter von watson-Mitarbeiter Can Külahcigil in einem öffentlichen WLAN ab.
Die Folgen des Apple-Fehlers: IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip fängt die Passwörter von watson-Mitarbeiter Can Külahcigil in einem öffentlichen WLAN ab.Bild: watson

6. Unser Hacker legt los


Külahcigil hat das Update gesehen, aber einfach weggeklickt. Jetzt lassen wir unseren bestellten Hacker auf sein MacBook los. Külahcigil sitzt im Café und ist informiert, dass wir ihn hacken wollen. Was er nicht ahnt, ist, wie schnell IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip sein Gmail- und Facebook-Konto kapert (siehe obenstehendes Video). Unser Hacker kann nun im Namen des watson-Mitarbeiters auf Facebook wüten. Immerhin: Külahcigils Bankkonto haben wir verschont. Aber auch dort wären kriminelle Hacker reingekommen.

Stefan Friedli weiss, wie man Apples-Verschlüsselungsfehler ausnutzen kann. watson-Redaktor Külahcigil sitzt nur einen Tisch weiter und bekommt vom Einbruch in sein Facebook-Konto nichts mit.
Stefan Friedli weiss, wie man Apples-Verschlüsselungsfehler ausnutzen kann. watson-Redaktor Külahcigil sitzt nur einen Tisch weiter und bekommt vom Einbruch in sein Facebook-Konto nichts mit.Bild: watson

Zum Abschluss erlauben wir uns noch einen kleinen Spass: Unser Kollege verlässt das Café. Wir haben inzwischen Zugriff auf seine iCloud. Über die iPhone-Ortung verfolgen wir ihn am Bildschirm und sperren ihm das iPhone.

Kollege Külahcigil hat das Gebäude verlassen. Wir können ihn bzw. sein iPhone auf der Map verfolgen.
Kollege Külahcigil hat das Gebäude verlassen. Wir können ihn bzw. sein iPhone auf der Map verfolgen.Bild: watson

7. So schützen Sie sich 

  • Installieren Sie alle Updates, auch wenn Apple die Gefahr mit kryptischen Beschreibungen verschleiert und wie im aktuellen Fall lediglich schreibt, dass «ein Angreifer mit privilegierter Netzwerkposition Daten abfangen oder modifizieren könne, die durch SSL/TLS geschützt sind.» 
  • Wenn Sie mit ihrem Gerät vertrauliche Informationen senden und empfangen, verbinden Sie es nicht mit einem WLAN an öffentlichen Orten wie Cafés, Bahnhöfen oder Flughäfen. Das gilt auch für Windows- und Android-Geräte. 
  • Wenn Sie auf öffentliches WLAN angewiesen sind, nutzen Sie ein Virtual Private Network (VPN). Eine VPN-Verbindung ermöglicht eine sichere Übertragung über ein unsicheres WLAN-Netzwerk. 
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
14 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
14
Schweizer Online-Shop unter Verdacht – Twint schreitet ein
Nie war es einfacher, einen professionell wirkenden Online-Shop in Betrieb zu nehmen. Doch der Fall von Vibely.ch zeigt, dass für die Nutzerinnen und Nutzer grösste Vorsicht geboten ist.

Die Website sieht einladend und ziemlich professionell aus, doch hinter der glänzenden Fassade des Schweizer Online-Shops läuft einiges schief. Kundinnen und Kunden warten seit Wochen oder Monaten auf bestellte Ware.

Zur Story