Der beispiellose Hackerangriff auf iPhone-User, der von Google am Freitag enthüllt worden war, soll noch viel schlimmer sein als zunächst berichtet.
Laut einem Forbes-Bericht vom Sonntag wurden auch Googles Android-Betriebssystem und Windows-PCs gehackt. Und dies angeblich über die gleichen manipulierten Webseiten. Dies hätten mehrere Quellen mit Kenntnis der Situation bestätigt, schreibt der Tech-Journalist Thomas Brewster. Wobei er nicht verrät, wer seine Informanten sind.
Es sei auch unklar, welche Exploits (siehe unten) genutzt wurden, um Android- und Windows-User zu attackieren.
Offenbar gibt es ernstzunehmende Hinweise, oder gar Beweise, dass die chinesische Regierung respektive deren Geheimdienste hinter den Hackerangriffen stecken.
Wobei wichtige Fakten aus unverständlichen Gründen von Google bislang nicht offengelegt wurden.
Die Öffentlichkeit weiss noch immer nicht, über welche Internet-Adressen die für die raffinierten Hackerattacken verwendeten manipulierten Webseiten erreichbar waren.
Es waren keine populären Websites, bei Google Project Zero ist von lediglich «tausenden Besuchern» pro Woche die Rede.
Nach der Veröffentlichung am Freitag äusserten mehrere Experten die Vermutung, dass Computer und Smartphones der uigurischen Volksgruppe in China infiziert wurden.
Eine Liste der ausspionierten Messenger-Apps beinhaltet viele in China populäre Dienste. Zudem schrieb Ian Beer, der Autor des Berichts: «Um zum Ziel zu werden, könnte es schon reichen, einfach in einer bestimmten Region geboren oder Teil einer bestimmten ethnischen Gruppe zu sein.»
Tatsächlich werden die Uiguren seit langem vom chinesischen Regime unterdrückt, insbesondere in der Region Xinjiang, wo die Überwachung allgegenwärtig sein soll.
Dass auch Android und Windows ins Visier genommen wurden, sei ein Zeichen dafür, dass die Hacks Teil einer breiten, zweijährigen Anstrengung waren, schreibt «Forbes».
Eine Quelle bestätigte dem «Forbes»-Journalisten, dass die Angriffe im Laufe der Zeit für verschiedene Betriebssysteme aktualisiert worden seien. Dies, da sich die Computer-Nutzung der angepeilten Opfer, also der Uiguren, änderte.
Es wäre tatsächlich unlogisch, wenn nur das iPhone attackiert würde: Nach den vorliegenden Fakten ging es den Angreifern um Massenüberwachung, und da müsste Android zwingend vertreten sein. Selbst wenn die Geheimpolizei Besuchern beim Grenzübertritt eine Ausspäh-App installiert.
Bleibt die unbequeme Frage an die Adresse von Google, warum die Google-Sicherheitsexperten nur über die Schwachstellen bei iPhones bzw. iOS von Apple berichteten.
Es gibt mehrere plausible Erklärungen, die allerdings alle ein sehr schlechtes Licht werfen auf gewisse Akteure:
Sicher ist: Seitens Google und dessen vielgerühmtem Elite-Team Project Zero besteht dringender Erklärungsbedarf.
Auffallend ist, dass die Veröffentlichung ausgerechnet am gleichen Tag erfolgte, an dem Apple die Einladungen zu seiner iPhone-Keynote am 10. September verschickte.
Bitte nicht falsch verstehen, die Arbeit und Ergebnisse sind natürlich wichtig, aber findet Google Project Zero eigentlich immer nur Lücken bei den anderen oder auch bei „sich“ selbst 🤔
— SvRi (@tw_sven) August 31, 2019
Der letzte Tweet des federführenden Google-Sicherheitsforschers Ian Beer, der die Blog-Postings vom Freitag verfasst hat, stammt noch vom Freitag. Seither herrscht fast schon verdächtiges Schweigen ...
Gegenüber dem Techblog Gizmodo nahm offenbar ein Google-Sprecher Stellung und sagte, das Unternehmen habe «keine neuen Informationen» zu veröffentlichen.
Es sei unklar, ob Google wusste oder offenlegte, dass die manipulierten Webseiten auch auf andere Betriebssysteme ausgerichtet waren, hält «Forbes» fest. Ein Informant habe behauptet, Google habe nur gesehen, wie iOS-Exploits von den Websites aus bedient worden seien.
Apple hat noch keine Stellungnahme zu den von Google publik gemachten Angriffen abgegeben und keine Stellungnahme zu den neuesten Entwicklungen abgegeben.
Microsoft hat gemäss «Forbes» noch keine Stellungnahme zu den jüngsten Enthüllungen abgegeben. Der Sprecher von Microsoft Schweiz, Tobias Steger, schreibt, dass ihm zu den erwähnten Angriffen «keine Informationen» vorliegen.
Google Schweiz hat auf eine Anfrage von watson bislang nicht reagiert.
Abgesehen von den oben geschilderten Unklarheiten und fehlenden Antworten müssen sich Apple, Google und wohl auch Microsoft weitere Fragen gefallen lassen.
Transparenz und schonungslose Aufklärung wären wünschenswert, dürften aber kaum Realität werden.
Bei den automatisierten Hackerangriffen auf das iPhone-Betriebssystem iOS kamen Zero Day Exploits («0-Days») zum Einsatz. Das sind Schwachstellen in Betriebssystemen und anderer Software, die besonders wertvoll sind, weil sie niemand kennt und es darum noch keinen Schutz gibt. Und die wertvollsten Zero Day Exploits sind solche, die es ermöglichen, eigenen Code auf fremden Geräten auszuführen:
Ob und in welchem Ausmass das Android-Betriebssystem und Windows-Versionen gehackt wurden und ob dabei auch Zero Day Exploits entdeckt wurden, ist nicht bekannt.
Im aktuellen Fall, in dem sich der Hackerangriff mutmasslich gegen das Volk der Uiguren richtet, dürften vermutlich auch Menschen ausserhalb Chinas betroffen sein. Dies sagte ein Vertreter der Electronic Frontier Foundation (EFF), einer Nichtregierungsorganisation in den Vereinigten Staaten, die sich für Grundrechte im Informationszeitalter einsetzt.
Das glaube wer will. Das Staatschina streckt die Fühler seit nun 15 Jahren viel weiter aus. So schön das Land, so gefährlich die Staatsdoktrin.
Das stimmt so nicht: Google hat Apple am 1. Februar informiert und ihnen -weil die Bugs schon aktiv ausgenutzt wurden- eine Frist von sieben Tagen eingeräumt. Am 7. Februar hat Apple ein Update ausgeliefert und die Lücken öffentlich gemacht.
Was jetzt veröffentlicht wurde, ist eine ausführliche Analyse über die Ausnutzung der Lücken. Diese hat mehr Zeit erfordert als sieben Tage. (Womit ich nicht sagen will, dass Google den Bericht nicht schon früher hätte veröffentlichen können.)