Und Sie? Update schon gemacht?

Heute hacken wir einen Mac. Geht nicht? Geht doch!

Millionen Macs, iPhones und iPads stehen seit Monaten offen wie Scheunentore. Wer das aktuelle Sicherheits-Update jetzt noch nicht installiert hat, sollte dies schleunigst nachholen. Wir haben einen Hacker auf einen watson-Mitarbeiter angesetzt, der Updates lieber wegklickt, als sie zu installieren. Die unangenehmen Folgen sehen Sie im Video.

01.03.2014, 11:5026.10.2015, 09:54

Oliver Wietlisbach

Mathieu Gilliand

Redaktor

Gelöschter Benutzer

Die Zutaten für unser Hacking-Experiment sind rasch zur Hand:

Apple hat vor einer Woche eine massive Sicherheitslücke im Mac, iPhone und iPad eingestanden.
watson-Mitarbeiter Can Külahcigil, den wir hacken wollen, besitzt ein MacBook sowie ein iPhone.
Wie viele andere Mac-User installierte auch Can nur alle Jubeljahre ein Sicherheits-Update.
Wir haben mit Stefan Friedli einen Computer-Fachmann für unseren Hacker-Angriff gewonnen, der von Berufs wegen Firmen hackt. Kann er auch das MacBook von unserem Redaktor hacken?

Wir haben das neuste Update installiert, unser Kollege und watson-Mitarbeiter Can Külahcigil jedoch nicht.Bild: watson

watson-Redaktor und Apple-User Can Külahcigil (im Hintergrund) in einem Café in Zürich: Wir haben Hacker Stefan Friedli (im Vordergrund) auf ihn angesetzt. Unser Arbeitskollege weiss, dass wir ihn hacken wollen, glaubt aber noch nicht so ganz an den Erfolg.Bild: watson

1. Eine gravierende Sicherheitslücke

Seit Monaten gibt es in Apple-Geräten eine kritische Sicherheitslücke genannt «goto fail». Kriminelle und Geheimdienste, die allenfalls seit langem davon wussten, konnten Apple-Nutzer unbemerkt ausspionieren: E-Mails, Facebook, E-Banking, Facetime-Gespräche etc. Panik ist trotzdem nicht angezeigt: Im Alltag ist nur gefährdet, wer in Cafés, im Zug oder an Flughäfen ein öffentliches WLAN nutzt und das neuste Update nicht installiert hat.

Apple-Geräte, die nicht auf dem neusten Stand sind, können gehackt werden, wenn sich der Nutzer in einem öffentlichen WLAN befindet: Schuld ist eine einzige Codezeile, welche die Verschlüsselung im iPhone, iPad und Mac aushebelt.Bild: Spiegel Online

2. Ein verspätetes Update

Am Freitag vor einer Woche veröffentlichte Apple in aller Stille ein wichtiges Sicherheits-Update für das iPhone und iPad. Vier Tage später reichte der Tech-Konzern auch für Mac-Nutzer eine Aktualisierung nach, die die «goto fail»-Lücke stopft. Das Problem: Die Schwachstelle hatte beim iPhone bereits seit September 2012 bestanden, beim Mac seit Dezember 2013.

3. Update-faule User

Eine Woche ist seit dem iOS-Update verstrichen: Doch bis jetzt haben nur rund die Hälfte der iPhone- und iPad-Nutzer auf die neuste Version iOS 7.0.6 aktualisiert, wie ein Blick in die Betriebssystem-Statistik zeigt. Beim Mac hat vermutlich erst ein Bruchteil der User das wichtige Update 10.9.2 installiert. Millionen Apple-Geräte sind also weiter angreifbar.

4. Apples Krisen-Kommunikation

An der schlechten Update-Quote sind nicht nur die User schuld: Apple selbst tut wenig, um seinen Kunden die Dringlichkeit kritischer Aktualisierungen zu vermitteln. In einer kurzen Notiz heisst es vage: «Das Update 10.9.2 wird allen Benutzern von OS X Mavericks empfohlen. Es verbessert die Stabilität und die Sicherheit ihres Mac.» Eine eindringliche Warnung klingt anders.

5. Unvorsichtige User

watson-Mitarbeiter Can Külahcigil gehört zum Schlag unbeschwerter Menschen, die auch mal am Flughafen in Istanbul ins E-Banking einloggen. Keine gute Idee! Kriminelle nutzen Orte mit öffentlichen WLANs, etwa die Business Lounge eines Flughafens oder die erste Klasse im Zug zwischen Bern und Zürich, um sich in fremde Geräte zu hacken.

Die Folgen des Apple-Fehlers: IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip fängt die Passwörter von watson-Mitarbeiter Can Külahcigil in einem öffentlichen WLAN ab.Bild: watson

6. Unser Hacker legt los

Külahcigil hat das Update gesehen, aber einfach weggeklickt. Jetzt lassen wir unseren bestellten Hacker auf sein MacBook los. Külahcigil sitzt im Café und ist informiert, dass wir ihn hacken wollen. Was er nicht ahnt, ist, wie schnell IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip sein Gmail- und Facebook-Konto kapert (siehe obenstehendes Video). Unser Hacker kann nun im Namen des watson-Mitarbeiters auf Facebook wüten. Immerhin: Külahcigils Bankkonto haben wir verschont. Aber auch dort wären kriminelle Hacker reingekommen.

Stefan Friedli weiss, wie man Apples-Verschlüsselungsfehler ausnutzen kann. watson-Redaktor Külahcigil sitzt nur einen Tisch weiter und bekommt vom Einbruch in sein Facebook-Konto nichts mit.Bild: watson

Zum Abschluss erlauben wir uns noch einen kleinen Spass: Unser Kollege verlässt das Café. Wir haben inzwischen Zugriff auf seine iCloud. Über die iPhone-Ortung verfolgen wir ihn am Bildschirm und sperren ihm das iPhone.

Kollege Külahcigil hat das Gebäude verlassen. Wir können ihn bzw. sein iPhone auf der Map verfolgen.Bild: watson

7. So schützen Sie sich

Installieren Sie alle Updates, auch wenn Apple die Gefahr mit kryptischen Beschreibungen verschleiert und wie im aktuellen Fall lediglich schreibt, dass «ein Angreifer mit privilegierter Netzwerkposition Daten abfangen oder modifizieren könne, die durch SSL/TLS geschützt sind.»
Wenn Sie mit ihrem Gerät vertrauliche Informationen senden und empfangen, verbinden Sie es nicht mit einem WLAN an öffentlichen Orten wie Cafés, Bahnhöfen oder Flughäfen. Das gilt auch für Windows- und Android-Geräte.
Wenn Sie auf öffentliches WLAN angewiesen sind, nutzen Sie ein Virtual Private Network (VPN). Eine VPN-Verbindung ermöglicht eine sichere Übertragung über ein unsicheres WLAN-Netzwerk.