Digital

Die CIA konnte nicht nur iPhone- und Android-Nutzer ausspionieren, sondern auch Mac-User. Bild: Shutterstock

Wie die CIA MacBook-Nutzer ausspioniert und was ein «harmloser» Adapter damit zu tun hat

Die CIA hat offenbar einen digitalen Werkzeugkasten entwickelt, um Apple-Geräte wie MacBooks ausspionieren zu können. Dabei spielt ein kleiner Adapter eine zentrale Rolle, wie neue WikiLeaks-Dokumente zeigen.

23.03.17, 16:58 25.03.17, 10:00

Ein Artikel von

Update: WikiLeaks hat zwar Dokumente über Techniken veröffentlicht, mit denen der US-Geheimdienst MacBooks und iPhones manipulieren könne. Die dort genannten Methoden sind aber veraltet, die Sicherheitslücken laut Apple längst gestopft. Hier gehts zum Folge-Bericht bei Spiegel Online.

Agenten des US-Auslandsgeheimdienstes CIA können sich offenbar dauerhaften Zugang zu Apple-Laptops verschaffen. Entsprechend infizierte Geräte lassen sich nicht mehr von der Schadsoftware befreien, nicht einmal, wenn ein komplett neues Betriebssystem auf den Rechner gespielt wird. Das geht aus zwölf CIA-Dokumenten hervor, die die Enthüllungs-Plattform WikiLeaks am Mittwoch auf ihrer Website veröffentlicht hat.

Um die Malware auf die Geräte zu schleusen, brauchen die CIA-Mitarbeiter allerdings physischen Zugriff auf den gewünschten Rechner – und ganz bestimmte Werkzeuge. Unter anderem nutzen die Spione dafür offenbar einen gehackten Thunderbolt-Ethernet-Adapter.

Die CIA nutzte modifizierte Thunderbolt-Ethernet-Adapter für ihre Angriffe auf MacBooks. bild: spiegel online

Dass es dieses Zubehörteil überhaupt gibt, ärgert viele Apple-Kunden seit der Einführung des MacBook Air im Jahr 2008. Bei den Geräten fehlte erstmals die bis dahin bei Apple-Laptops übliche Ethernet-Buchse, mit der sich die Geräte über Kabel mit Netzwerken und Routern verbinden lassen. Stattdessen hatten die Geräte nur USB- und Thunderbolt-Anschlüsse. Um dennoch in Kabelnetzwerke zu kommen, mussten die Apple-Kunden noch einen sogenannten Thunderbolt-Ethernet-Adapter erwerben, für um die 35 Franken.

Offenbar begann die CIA schon kurz darauf, solche Adapter zum Einbruchshelfer umzuprogrammieren. Der so modifizierte Stecker taucht in den WikiLeaks-Dokumenten als «Sonic Screwdriver» auf.

Er versetzt die Agenten demnach in die Lage, einen grundlegenden Schutzmechanismus des Rechners auszuhebeln. So können die CIA-Hacker wohl auch Computer, deren Firmware mit einem Kennwort geschützt ist, mit einem Trojaner infizieren – zum Beispiel per USB-Stick oder über ein DVD-Laufwerk.

Adapter gelten schon länger als Sicherheitslücke

Dass Apple-Rechner grundsätzlich auch über die kleinen Adapter angegriffen werden können, ist nicht neu. Das Zubehörteil ist als Schwachstelle bereits länger bekannt. Die nun veröffentlichten Dokumente aus den Jahren 2008 bis 2012 zeigen, wie sich auch die CIA solche Schwachstellen angeblich zunutze macht – sofern die Spione denn Zugang zu den gewünschten Computern haben. Ob die damals festgehaltene Angriffsmöglichkeit auch noch für aktuelle Apple-Geräte gilt, geht aus den Veröffentlichungen nicht hervor.

Ebenfalls unklar ist, auf wie vielen Rechnern von Apple die CIA-Spione entsprechende Trojaner tatsächlich implantiert haben – oder wie sie Rechner angreifen, die mit dem Microsoft-Betriebssystem Windows arbeiten.

Auffällig viele Tippfehler in den Dokumenten

Die neue Enthüllung von WikiLeaks folgt auf die Veröffentlichung von 7818 Seiten CIA-Dokumenten mit 943 Anhängen durch die Enthüllungsplattform Anfang März. Nach diesem «Vault 7» getauften Leak hatten viele Journalisten darauf hingewiesen, dass die Echtheit der Dokumente nicht bewiesen sei. Andere spekulierten, dass russische Geheimagenten und Hacker sich das Material beschafft und dann WikiLeaks übergeben hätten.

Inzwischen gehen CIA und FBI davon aus, dass die veröffentlichten Dokumente keine Fälschungen sind und sie dem Auslandsgeheimdienst der US-Regierung von einem anonymen Whistleblower aus den eigenen Reihen entwendet wurden. Mike Morell, Ex-CIA-Vizedirektor, erklärte jedenfalls gegenüber dem US-Sender CBS, dass es sich bei dem Dokumentendiebstahl um einen «inside job» handeln müsse.

Der aktuelle Schwung Dokumente mutet von der Aufmachung her ebenfalls wie klassische Geheimdienst-Dokumente aus früheren Enthüllungen an. Allerdings finden sich darin diesmal auffällig viele Schreib- beziehungsweise Tippfehler. Das Betriebssystem Linux wird zum Beispiel an mindestens einer Stelle «Lunix» geschrieben.

Eine Ermittlungsgruppe des FBI begann nach den ersten Enthüllungen mit der Suche nach dem Hinweisgeber. Sie vermutet diesen – wie auch WikiLeaks als Empfänger der Dokumente – unter den Mitarbeitern eines Zulieferers, also einer Firma, die für die CIA arbeitet. Die aktuellen Veröffentlichungen über die Apple-Laptops stammen ebenfalls aus dem besagten internen, nach aussen abgeschotteten CIA-Netzwerk.

mbs/juh/mak/gru

Apple MacBook Pro im Test: So fühlt sich die neue Touch Bar an

Hol dir die App!

Markus Wüthrich, 5.5.2017
Tolle Artikel jenseits des Mainstreams. Meine Hauptinformations- und Unterhaltungsquelle.
Abonniere unseren NewsletterNewsletter-Abo
18
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
18Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • pedrinho 24.03.2017 14:19
    Highlight btw.

    lunix war frueher mal gebraeuchlich fuer "little unix",
    op-systeme die ich in einem stick oder z.b. auch player habe.
    2 1 Melden
  • Linksanwalt 24.03.2017 08:10
    Highlight Ich will ja nicht schon wieder gegen Apple schiessen, aber dies ist wieder einmal eine Steilvorlage…
    13 8 Melden
  • MaskedGaijin 23.03.2017 20:55
    Highlight "Das Betriebssystem Linux wird zum Beispiel an mindestens einer Stelle «Lunix» geschrieben." An mindestens einer Stelle. Wow...
    36 4 Melden
  • http://bit.ly/2mQDTjX 23.03.2017 18:55
    Highlight Gemäss WikiLeaks-Angaben werden seit 2008 alle iPhones bereits während des Herstellungsprozesses mit Spyware "bestückt". Demnach sind alle fabrikneue iPhones bereits beim Kauf mit Malware infisziert und verwanzt.

    «"NightSkies 1.2" a "beacon/loader/implant tool" for the Apple iPhone. (...) The CIA has been infecting the iPhone supply chain of its targets since at least 2008.»(https://wikileaks.org/vault7/darkmatter/)

    WikiLeaks vermutet, dass auch Herstellungsprozesse von anderen Apple-Geräten sowie auch von anderen Herstellern kompromittiert wurden.
    16 34 Melden
    • G.Oreb 23.03.2017 19:33
      Highlight @Laurent Genau so verbreiten sich Verschwörungstheorien. Da steht klar und deutlich: "The CIA has been infecting the iPhone supply chain of its targets since at least 2008."

      Targets ist hier das Schlüsselwort. Und supply chain.

      1. Targets = potentielle Verdächtige, nicht alle iPhones, eher so 0.00001%
      2. Heisst supply chain nicht Herstellungsprozess, sondern Lieferkette.

      Die CIA hat die iPhone-Lieferungen potentieller Verdächtiger abgefangen (z.B. Grossbestellungen von Firmen). Mit keinem Wort steht da was von dem was du da schreibst.
      Im Link ist das auch ziemlich ausführlich erklärt...
      58 10 Melden
    • http://bit.ly/2mQDTjX 23.03.2017 20:24
      Highlight Du darfst es es natürlich so verstehen/verharmlosen, G.Roeb.

      Allerdings kann man

      1. "its targets" als iPhones (oder Foxconn etc.) verstehen (a place selected as the aim of an attack), und
      2. "supply chain" ohne weiteres auch mit "Herstellungsprozess" übersetzen (the sequence of processes involved in the production and distribution of a commodity).

      Nebst WikiLeak verlass ich mich vorallem auf IT-Security-Literatur, die du natürlich wiederum als "Verschwörungstheorien" anzweifeln darfst. ;)

      Bei mir muss die Worstcase-Annahme "in dubio pro duro" gelten. Logisch sehen das Apple-Fans anders.
      11 27 Melden
    • http://bit.ly/2mQDTjX 23.03.2017 20:38
      Highlight G.Oreb: Immerhin stimmst du offenbar zu, dass

      "iPhone-Lieferungen potentieller Verdächtiger abgefangen (z.B. Grossbestellungen von Firmen)" werden.

      Zählt in deinen Augen zB. der Bund (die eidgenössische Bundesverwaltung) zu diesen Targets? Schliesslich verteilt der Bund den Bundes-Angestellten und Parlamentariern standardmässig nebst Windows- auch Apple-Geräte (alles aus chinesischen Supply-Chains).

      Wen meinst du, zählt die CIA zu seinen Targets? Also welche Grossbestellungen von welchen Firmen siehst du gefährdert?
      12 12 Melden
    • A7-903 23.03.2017 22:06
      Highlight Grundsätzliche ziele der cia sind Regierungen und (regierungsnahe/einflussreiche) Organisationen. Zum Beispiel vor ein paar Jahren de UN abhörskandal wo rauskam dass das 'alle' machen. Man kann getrost annehmen dass solche ziele nach wie vor ziele sind.

      Ob die schweizer Regierung für die amerikaner interessant ist (z.b. Wegen genf) sei dahingestellt.

      Für die chinesen ist fast sicher jedes westliche land ein ziel, sofern der aufwand die kosten rechtfertigt. Hochtechnologie und pharmazeutische industrien scheinen allerdings die liste anzuführen, soweit man berichten und gerüchten glauben kann.
      11 2 Melden
    • http://bit.ly/2mQDTjX 23.03.2017 22:29
      Highlight A7-903... Die schweizer Regierung ist vermutlich total langweilig. Also im Vergleich zu den schweizer Banken, die uns schon in Vergangenheit hollywoodreif unterhielten mit ihren spannenden kriminellen Machenschaften.

      Nach den Snowden-Enthüllungen wäre es natürlich auch bloss eine Verschwörungstheorie, wenn einer behaupten würde, dass Bradley Birkenfeld (https://de.wikipedia.org/wiki/Bradley_Birkenfeld) gar kein echter Whistleblower war, sondern nur vom FBI vorgeschoben wurde, um die Herkunft ihrer Bankkunden-Daten zu verschleiern.
      6 3 Melden
  • Dsign 23.03.2017 18:16
    Highlight Naja. Es muss ein von der CIA modifizierter Adapter sein und mindestens einmal muss ein physischer Kontakt mit dem Rechner hergestelt werden. Die Headline und das Bild auf der Front sind aber so verfasst, dass man denken könnte, dass die originalen Adapter diese Hintertüre öffnen - pfft. Leute das ist Blick-Niveau und unreflektiet dazu.
    46 8 Melden
  • DailyGuy 23.03.2017 17:24
    Highlight Es darf bezweifelt werden das ein 9 Jahre alter Exploit heute noch funktioniert.
    14 14 Melden
    • A7-903 23.03.2017 19:06
      Highlight Wenn apple nichts davon wusste ist das gut möglich. Man kann keine lücke schliessen von der man nichts ahnt.
      26 5 Melden
    • DailyGuy 23.03.2017 20:42
      Highlight Naja, das kann schon sein, aber Apple hat viel Arbeit geleistet in den letzten Jahren in Sache Verschlüsselung, Datensicherheit und Abschottung von Aussen.
      3 12 Melden
    • Midnight 24.03.2017 08:10
      Highlight Das mit den Adaptern ist schon ein recht alter Hut. Es gab damals tatsächlich einen Exploit, welcher gewisse Sicherheitsmechanismen auf Firmwareebene aushebelte. Diese Lücke wurde aber schon vor Jahren geschlossen. Inzwischen ist es durch raffinierte Signaturen und Prüfmechanismen seitens Apple praktisch unmöglich geworden, die Firmware zu modifizieren oder inoffizielle Firmware aufzuspielen.
      2 3 Melden
    • RobertQWEC 25.03.2017 08:58
      Highlight ZeroDays Exploits bleiben häufig über Jahre erhalten und der Schwarzmarkt zahlt Unsummen dafür. Solange der Entwickler die Info nicht bekommt (und selbst nicht drauf kommt) ...
      Das letzte grosse Exploit war wohl der Heartbleed. Jahrelang war der vorhanden. Wer weiss, an wie vielen Stellen die offenen Türen noch nicht offiziell gefunden wurden.
      3 1 Melden

iOS-Kontrollzentrum lässt WLAN und Bluetooth aktiv, selbst wenn es der Nutzer deaktiviert

Aus heisst nicht immer aus: Apples neues Kontrollzentrum in iOS 11 hat zwar Knöpfe zum Deaktivieren der WLAN- und Bluetooth-Verbindung, doch die Funkverbindungen bleiben im Hintergrund aktiv. Das sei so gewollt, sagt Apple.

Das neue iOS 11 für iPhone, iPad und iPod touch macht es Apple-Nutzern deutlich schwerer, Funkverbindungen vollständig zu kappen. Wer bei seinem iPhone mit einem Wisch vom unteren Displayrand das Kontrollzentrum aufruft und die WLAN- oder Bluetooth-Verbindung deaktiviert, geht vermutlich davon aus, dass WLAN und Bluetooth nun vollständig deaktiviert sind. Bei iOS 11 ist dies nicht mehr der Fall, wie man in einem Supportdokument nachlesen kann.

Zum Thema WLAN schreibt Apple: …

Artikel lesen