Auch Android und Windows von massivem Hackerangriff betroffen – was wir bislang wissen
Der beispiellose Hackerangriff auf iPhone-User, der von Google am Freitag enthüllt worden war, soll noch viel schlimmer sein als zunächst berichtet.
Laut einem Forbes-Bericht vom Sonntag wurden auch Googles Android-Betriebssystem und Windows-PCs gehackt. Und dies angeblich über die gleichen manipulierten Webseiten. Dies hätten mehrere Quellen mit Kenntnis der Situation bestätigt, schreibt der Tech-Journalist Thomas Brewster. Wobei er nicht verrät, wer seine Informanten sind.
Es sei auch unklar, welche Exploits (siehe unten) genutzt wurden, um Android- und Windows-User zu attackieren.
Offenbar gibt es ernstzunehmende Hinweise, oder gar Beweise, dass die chinesische Regierung respektive deren Geheimdienste hinter den Hackerangriffen stecken.
Wobei wichtige Fakten aus unverständlichen Gründen von Google bislang nicht offengelegt wurden.
Die Öffentlichkeit weiss noch immer nicht, über welche Internet-Adressen die für die raffinierten Hackerattacken verwendeten manipulierten Webseiten erreichbar waren.
Es waren keine populären Websites, bei Google Project Zero ist von lediglich «tausenden Besuchern» pro Woche die Rede.
Android und Windows dominieren in China
Nach der Veröffentlichung am Freitag äusserten mehrere Experten die Vermutung, dass Computer und Smartphones der uigurischen Volksgruppe in China infiziert wurden.
Eine Liste der ausspionierten Messenger-Apps beinhaltet viele in China populäre Dienste. Zudem schrieb Ian Beer, der Autor des Berichts: «Um zum Ziel zu werden, könnte es schon reichen, einfach in einer bestimmten Region geboren oder Teil einer bestimmten ethnischen Gruppe zu sein.»
Tatsächlich werden die Uiguren seit langem vom chinesischen Regime unterdrückt, insbesondere in der Region Xinjiang, wo die Überwachung allgegenwärtig sein soll.
Dass auch Android und Windows ins Visier genommen wurden, sei ein Zeichen dafür, dass die Hacks Teil einer breiten, zweijährigen Anstrengung waren, schreibt «Forbes».
Eine Quelle bestätigte dem «Forbes»-Journalisten, dass die Angriffe im Laufe der Zeit für verschiedene Betriebssysteme aktualisiert worden seien. Dies, da sich die Computer-Nutzung der angepeilten Opfer, also der Uiguren, änderte.
Es wäre tatsächlich unlogisch, wenn nur das iPhone attackiert würde: Nach den vorliegenden Fakten ging es den Angreifern um Massenüberwachung, und da müsste Android zwingend vertreten sein. Selbst wenn die Geheimpolizei Besuchern beim Grenzübertritt eine Ausspäh-App installiert.
Was zum Teufel ist da los, Google?
Bleibt die unbequeme Frage an die Adresse von Google, warum die Google-Sicherheitsexperten nur über die Schwachstellen bei iPhones bzw. iOS von Apple berichteten.
Es gibt mehrere plausible Erklärungen, die allerdings alle ein sehr schlechtes Licht werfen auf gewisse Akteure:
- Google wollte mit der einseitigen Veröffentlichung seinem grössten Konkurrenten Apple schaden und hat bewusst darauf verzichtet, auch die Angriffe auf Android zu erwähnen.
- Oder das schlimmere Szenario: Viele Android-Smartphones sind noch nicht geschützt gegen die Hackerangriffe, die ja automatisch ablaufen beim Aufrufen einer manipulierten Webseite. Mussten die Google-Sicherheitsforscher warten mit der Veröffentlichung, weil wegen der starken Fragmentierung noch nicht alle Schwachstellen per Update geschlossen werden konnten (viele Hersteller, keine einheitliche Auslieferung von Sicherheits-Updates)?
- Nicht wirklich imagefördernd für das Project Zero wäre, wenn die Google-Sicherheitsexperten nicht mitbekommen haben, dass über die manipulierten Webseiten auch Android-Smartphones angegriffen wurden.
- Und schliesslich: Was, wenn die Angaben der «Forbes»-Informanten nicht stimmen? Wer hätte bei der aktuellen Weltwirtschaftslage ein Interesse, China möglichst grossen Schaden zuzufügen? Erinnert sei an die fragwürdige Bloomberg-Story «The Big Hack», in der die US-Geheimdienste den Chinesen vorwarfen, Rechenzentren von Apple und anderen US-Techkonzernen infiltriert und Server gehackt zu haben. Ohne den geringsten Beweis vorzulegen.
Sicher ist: Seitens Google und dessen vielgerühmtem Elite-Team Project Zero besteht dringender Erklärungsbedarf.
Auffallend ist, dass die Veröffentlichung ausgerechnet am gleichen Tag erfolgte, an dem Apple die Einladungen zu seiner iPhone-Keynote am 10. September verschickte.
Bitte nicht falsch verstehen, die Arbeit und Ergebnisse sind natürlich wichtig, aber findet Google Project Zero eigentlich immer nur Lücken bei den anderen oder auch bei „sich“ selbst 🤔
— SvRi (@tw_sven) August 31, 2019
Der letzte Tweet des federführenden Google-Sicherheitsforschers Ian Beer, der die Blog-Postings vom Freitag verfasst hat, stammt noch vom Freitag. Seither herrscht fast schon verdächtiges Schweigen ...
Gegenüber dem Techblog Gizmodo nahm offenbar ein Google-Sprecher Stellung und sagte, das Unternehmen habe «keine neuen Informationen» zu veröffentlichen.
Es sei unklar, ob Google wusste oder offenlegte, dass die manipulierten Webseiten auch auf andere Betriebssysteme ausgerichtet waren, hält «Forbes» fest. Ein Informant habe behauptet, Google habe nur gesehen, wie iOS-Exploits von den Websites aus bedient worden seien.
Apple hat noch keine Stellungnahme zu den von Google publik gemachten Angriffen abgegeben und keine Stellungnahme zu den neuesten Entwicklungen abgegeben.
Microsoft hat gemäss «Forbes» noch keine Stellungnahme zu den jüngsten Enthüllungen abgegeben. Der Sprecher von Microsoft Schweiz, Tobias Steger, schreibt, dass ihm zu den erwähnten Angriffen «keine Informationen» vorliegen.
Google Schweiz hat auf eine Anfrage von watson bislang nicht reagiert.
Unbequeme Fragen
Abgesehen von den oben geschilderten Unklarheiten und fehlenden Antworten müssen sich Apple, Google und wohl auch Microsoft weitere Fragen gefallen lassen.
- Warum hat Google erst nach über einem halben Jahr die Öffentlichkeit informiert? (Apple hatte die Sicherheitslücken per Update im Februar 2019 geschlossen).
- Warum schweigen sich die Techkonzerne über Angreifer und Opfer aus?
- Wollen sie ihre lukrativen Geschäfte in
Chinabestimmten Staaten nicht gefährden? - Waren die Angriffe nur gegen die Uiguren gerichtet? Es gäbe ja ganz viele andere Minderheiten in China. Und dann wären da noch Hongkong, Taiwan...
- Haben andere Staaten die Angriffsmethoden (Exploits) ebenfalls genutzt?
Transparenz und schonungslose Aufklärung wären wünschenswert, dürften aber kaum Realität werden.
Was hat es mit den Exploits auf sich?
Bei den automatisierten Hackerangriffen auf das iPhone-Betriebssystem iOS kamen Zero Day Exploits («0-Days») zum Einsatz. Das sind Schwachstellen in Betriebssystemen und anderer Software, die besonders wertvoll sind, weil sie niemand kennt und es darum noch keinen Schutz gibt. Und die wertvollsten Zero Day Exploits sind solche, die es ermöglichen, eigenen Code auf fremden Geräten auszuführen:
- Angreifer können unbemerkt Spionage-Software auf fremden Geräten installieren – voll automatisch, wenn das ahnungslose Opfer eine manipulierte Webseite aufruft.
- Wie schon der US-Whistleblower Edward Snowden enthüllt hatte, geht es der NSA und anderen Geheimdiensten um die totale Überwachung von Computernutzern. Das technische Rüstzeug, um Router, Server, Smartphones und andere Geräte zu hacken, bildeten unzählige Exploits.
Ob und in welchem Ausmass das Android-Betriebssystem und Windows-Versionen gehackt wurden und ob dabei auch Zero Day Exploits entdeckt wurden, ist nicht bekannt.
Im aktuellen Fall, in dem sich der Hackerangriff mutmasslich gegen das Volk der Uiguren richtet, dürften vermutlich auch Menschen ausserhalb Chinas betroffen sein. Dies sagte ein Vertreter der Electronic Frontier Foundation (EFF), einer Nichtregierungsorganisation in den Vereinigten Staaten, die sich für Grundrechte im Informationszeitalter einsetzt.