Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Fehler

Millionen Apple-Geräte standen und stehen zum Teil immer noch offen wie ein Scheunentor: Schuld ist eine einzige Codezeile, die die SSL-Verschlüsselung im iPhone, iPad und Mac aushebelt. Bild: Spiegel Online

Massive Sicherheitslücke gotofail

Apple-User sind Kriminellen und Geheimdiensten seit eineinhalb Jahren schutzlos ausgeliefert – und die Situation bleibt kritisch

«Diese Schwachstelle in Apple-Geräten ist desaströs», sagt der Schweizer Sicherheitsspezialist Stefan Friedli im Interview mit watson. Über Safari, Apple Mail, iCloud etc. haben Hacker freien Zugang auf iPhones, iPads und Macs. Es handelt sich um die gravierendste Lücke in der iPhone-Ära – noch nie waren so viele User gefährdet.



Wenn man wirklich schlimme Nachrichten verkünden muss, macht man dies am besten am Freitagabend. Dann sind die Journalisten beim Feierabendbier und bis am Montag ist im besten Fall schon Gras über die Sache gewachsen. Diese alte Medienweisheit kennt auch Apple. Wohl deshalb hat der Tech-Konzern am Freitag in aller Stille ein Update für iPhone- und iPad-Nutzer zur Verfügung gestellt. Eine scheinbar kleine Fehlerbehebung, die es in sich hat. 

Für den Laien klang zunächst alles ganz harmlos: In einer kurzen Notiz zum Update liess Apple seine Kunden wissen, dass «ein Angreifer mit privilegierter Netzwerkposition Daten abfangen oder modifizieren könne, die durch SSL/TLS geschützt sind.» So die verklausulierte Version. Im Klartext heisst das: Kriminelle und Geheimdienste können bei öffentlichen WLAN-Verbindungen jederzeit mitlesen sowie Daten abfangen und manipulieren. Eigentlich hätte Apple schreiben müssen: «Aktualisieren Sie ihr iPhone und iPad sofort, da ihr Gerät eine schwerwiegende Sicherheitslücke aufweist, die Kriminelle ausnutzen können.»

watson hat Apple-User per Push gewarnt 

«Lücken werden auch bei Apple-Geräten unauffällig und heimlich ausgenutzt, ohne dass die Opfer Wind davon bekommen.»

Eine derart deutliche Warnung sprechen Firmen nur sehr ungern aus. Dann lieber die Version Fachchinesisch, die den Nutzer im Glauben lässt, es wäre alles paletti. Die Folge ist klar: Apple-User wiegen sich in falscher Sicherheit. «Die Medien verbreiten wieder Panik», lautete der Tenor der Kommentarschreiber auf unseren ersten Artikel zu diesem Thema. «Ich arbeite schon seit 20 Jahren mit Mac (Desktop) und hatte noch NIE Probleme», antwortete ein Apple-Nutzer. Ein weit verbreiteter Irrglaube. Lücken werden auch bei Apple-Geräten unauffällig und heimlich ausgenutzt, ohne dass die Opfer Wind davon bekommen. 

watson hat die Tragweite am Samstag richtig gewichtet und Apple-User mit einer Push-Nachricht gewarnt.  

Seit Herbst 2012 offen wie ein Scheunentor 

In der Tat können Kriminelle und Geheimdienste problemlos beim iPhone und iPad mitlesen, wenn sich die Angreifer im selben WLAN befinden – etwa im Starbucks, im Büro, am Flughafen oder in einem Zug. E-Mails, Videogespräche, Webseiten, E-Banking-Daten etc. liegen den Online-Kriminellen auf dem Präsentierteller bereit.  

Vom Datendiebstahl bemerken die Opfer, meist Firmen, in aller Regel lange nichts. Das neuste Update vom Freitag schliesst diese Lücke im iPhone und iPad. Das Alarmierende: Das Leck in Apples Betriebssystem soll laut Sicherheitsforschern seit September 2012 bestanden haben, also fast eineinhalb Jahre. In all der Zeit waren zig Millionen ohne Schutz und niemand weiss, wie oft die Lücke missbraucht worden ist. 

Sicherheitsspezialisten antworten auf Apples Verschlüsselungsfehler mit Ironie

Zuerst über die Schwachstelle berichtet hat der Kryptographie-Professor Matthew Green

Google-Mitarbeiter Adam Langley beschreibt in seinem Blog die Details des Fehlers

Anscheinend wird das Sicherheits-Update von Apple nicht forciert ausgeliefert

Auch Macs betroffen – Apple verspricht Update

Nebenbei bemerkt: Das gleiche Sicherheitsleck versteckt sich auch in Macs mit der aktuellen Betriebssystemversion Mavericks. Nur gibt es für den Mac bislang kein Update, das die Lücke schliessen würde. Sich mit dem MacBook in ein öffentliches WLAN einzuloggen, ist daher alles andere als empfehlenswert. 

Öffentliche WLANs sollten generell gemieden werden. Doch gerade Geschäftsleute sind oft in Zügen oder Flughäfen darauf angewiesen. Allein dies sollte klar machen, welche schwerwiegenden Folgen Apples Fehler bereits verursacht haben könnte – das Stichwort heisst Industriespionage. 

Über das Wochenende durchleuchteten private Sicherheitsforscher den GoToFail-Bug: Betroffen von der Sicherheitslücke sind offenbar nicht nur der Webbrowser Safari, sondern weitere Apple-Programme, die ihre Verbindung mit SSL verschlüsseln. Zu den potenziell unsicheren Programmen auf dem Mac gehören FaceTime, iMessage, Twitter, Calendar, Keynote, Apple Mail, iBooks und weitere, schreibt der Apple-Blog Macrumors.com.

Sicherheitsspezialisten machen darauf aufmerksam, dass weitere Mac-Programme vom Fehler betroffen sind

Um ein Haar wäre Apples PR-Trick aufgegangen 

Zahlreiche Tech-Portale in den USA handelten die massive Sicherheitslücke am Wochenende als Randnotiz ab. Das bekannte Tech-Portal Mashable titelte in Apples Sinne: «Apple veröffentlicht Update für iOS 7, iOS 6». Dass es sich dabei mit grosser Wahrscheinlichkeit um die gravierendste Sicherheitslücke in Apple-Geräten seit Jahren handelt, würde bei einer derart verharmlosenden Schlagzeile wohl kein Leser vermuten.  

«Diese Schwachstelle ist desaströs.»

Der Schweizer IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip äussert sich zum aktuellen Leck bei Apple-Geräten. 

Stefan Friedli, Scip AG

Stefan Friedli, IT-Experte bei Scip. Bild: zvg

Herr Friedli, Angreifer kommen nur an Daten, wenn sich das Opfer in einem öffentlichen WLAN befindet. Also ist alles nur halb so wild?
Stefan Friedli:
 Im Alltag sind alle öffentlichen Orte mit einem WLAN wahrscheinliche Szenarien für das Abgreifen oder Manipulieren von Daten. Wir stufen das Risiko daher als happig ein. 

Wie können Kriminelle oder Geheimdienste die Lücke in Apple-Geräten ausnutzen? 
Nehmen wir die Situation im Starbucks oder am Flughafen, wo sich mehrere Handys oder Tablets im selben lokalen WLAN befinden. Der Angreifer drängt sich dort zwischen das Gerät des Nutzers und die Webseite, die er aufzurufen versucht, zum Beispiel Gmail.com. Er liest sämtliche Daten mit und schickt sie dann an das richtige Gmail.com weiter. Dasselbe passiert mit der Antwort, die man zurückbekommt.

Das heisst konkret? 
Apples Fehler in der SSL-Verschlüsselung ermöglicht Kriminellen eine sogenannte Man-in-the-Middle-Attacke. Der Angreifer kann sämtliche über das WLAN verschickte Daten, inklusive Passwörtern, speichern und sogar in Echtzeit Daten manipulieren, bevor sie wieder beim Benutzer ankommen. 

«Man kann das mit dem Gefühl beschreiben, wenn jemand aus den Ferien zurückkommt und feststellen muss, dass er zwar pflichtbewusst alle Türen abgeschlossen hatte, die Fenster aber sperrangelweit offen stehen liess. »

Geschäftsleute, die mit ihrem iPad oder MacBook ständig öffentliche WLANs nutzen, haben also ein Problem. 
Ja. Leute, die oft unterwegs sind, an Flughäfen oder in Cafés arbeiten und sich auf SSL als einziges Sicherheitsmerkmal beschränken, dürften momentan eher unruhig schlafen. Man kann das mit dem Gefühl beschreiben, das jemand hat, wenn er aus den Ferien zurückkommt und feststellen muss, dass er zwar pflichtbewusst alle Türen abgeschlossen hatte, die Fenster aber sperrangelweit offen stehen liess. 

Einige Unternehmen erfordern daher zwingend, dass ihre Mitarbeiter eine VPN-Verbindung nutzen, um in solchen Situationen aufs Internet zugreifen zu können. Das mindert das Risiko etwas. Der Durchschnittsnutzer, der direkt via öffentlichem WiFi arbeitet, ist direkt angreifbar.

Ist das die grösste je entdeckte Lücke bei Apple?
Ich denke, dass dies seit der iPhone-Ära wohl die Schwachstelle mit den vielfältigsten und weitreichendsten Auswirkungen im Hinblick auf die Anzahl betroffener Benutzer ist – gerade weil das Ausnutzen relativ einfach zu bewerkstelligen ist.

Wurde die Lücke von Kriminellen bereits ausgenutzt? 
Vermutlich wurde die Schwachstelle schon länger aktiv ausgenutzt, bevor sie nun endlich bekannt wurde. Denkbar ist, dass man die Lücke nur sehr, sehr selektiv ausgenutzt hat, um eine Entdeckung zu vermeiden. Im Allgemeinen gilt eine Schwachstelle in dem Moment als «burned», wo sie öffentlich eingesetzt wird, weil sie dann vermutlich auch über kurz oder lang entdeckt wird.  

Apple hat bei der SSL-Verschlüsselung bei iOS (iPhone, iPad, iPod touch) sowie beim Mac-Betriebssystem den gleichen Fehler gemacht. Ist das ein Zufall oder steckt mehr dahinter? 
iOS für das iPhone und OSX für den Mac sind relativ eng verwandt. Als Steve Jobs vor Jahren das erste iPhone ankündigte, nannte er das damals noch namenlose Betriebssystem sogar noch OSX. Von daher ist es gut möglich, dass hier die selbe Codebasis zum Einsatz kommt. Alles andere wäre an der Stelle wohl über der Grenze zur Verschwörungstheorie. 

«Dass die NSA die Schwachstelle ins Betriebssystem einpflanzte, mit oder ohne Apples Wissen, gehört in den Bereich der Verschwörungstheorie.»

Der Fehler in der Verschlüsselung besteht laut Sicherheitsspezialisten seit der Lancierung von iOS 6 im September 2012. Gemäss Edward Snowdens Dokumenten wurde Apple im Oktober 2012 ins Spionageprogramm PRISM der NSA aufgenommen. Nur ein Zufall? 
Dass die NSA die Schwachstelle ins Betriebssystem einpflanzte, mit oder ohne Apples Wissen, geht in den Bereich der Verschwörungstheorie: Es ist möglich, aber im Moment nicht zu belegen. Darum macht es meines Erachtens keinen Sinn, diese Theorien aktiv zu verfolgen. Das würde sich rapide ändern, wenn auf einmal entsprechende Beweise, zum Beispiel aus den Snowden-Dokumenten, auftauchen würden. 

Man hört immer wieder von Sicherheitslücken in Betriebssystemen. Warum ist der aktuelle Fall so gravierend? 
Banken und Onlinehändler haben ihre Kunden jahrelang darauf hingewiesen, dass es Sinn macht, zu prüfen, ob das kleine Schloss, das eine SSL-verschlüsselte Verbindung kennzeichnet, im Browser dargestellt wird. Ebenfalls haben Dienste wie Twitter und Facebook über die Jahre hinweg und auf grossen Druck von Sicherheitsfachleuten endlich nachgegeben und SSL flächendeckend für ihre Dienste eingesetzt. Darum ist die Schwachstelle so desaströs: Sie schadet dem Vertrauen in SSL in höchstem Masse.  

Wie funktioniert diese Man-in-the-Middle-Attacke? 
Ganz vereinfacht gesagt, kann man sich das wie eine Ausweiskontrolle am Postschalter beim Abholen eines eingeschriebenen Paketes vorstellen: Der Postbeamte prüft einen Ausweis (SSL-Zertifikat), das von einer vertrauenswerten Stelle, zum Beispiel einem Passbüro (Zertifizierungsstelle) ausgestellt wurde und das belegt, dass ich die Person bin, die ich vorgebe zu sein. Der Bug ist nun, um bei dieser Analogie zu bleiben, dass ein Postbeamter zwar einen Ausweis verlangt, aber konstant ignoriert, ob der darauf stehende Name effektiv dem Namen des Empfängers entspricht. 

SSL war de facto eine der signifikantesten Errungenschaften, um diese Man-in-the-Middle-Attacke einzuschränken. Deshalb ist Apples Schwachstelle so gravierend. 

Wie sich Apple-User schützen können

Mit Macs sollten Sie bis auf weiteres in öffentlichen WLANs in Cafés, Büros, Schulen, Zügen oder Flughäfen keine sensiblen Daten via Safari, iCloud, FaceTime etc. übertragen. Insbesondere auch keine E-Banking-Transaktionen. 

Generell gilt: In öffentlichen WLANs sollte man nie sensible Daten übertragen, auch nicht mit Android- oder Windows-Geräten.

Wenn Sie das neuste Update vom Wochenende für iOS 6 und iOS 7 installiert haben, sollte ihr iPhone, iPad oder iPod touch sicher sein.

Das könnte dich auch interessieren:

Armuts-Studien: Der Wirtschafts-Nobelpreis geht an ein Trio

Link zum Artikel

Poulet sollte man waschen? Kaffee ist ungesund? 11 Food-Mythen im Faktencheck

präsentiert vonMarkenlogo
Link zum Artikel

Die 21 Ladys für den Bachelor sind da: Eine von ihnen muss er nehmen ...

Link zum Artikel

23 vernichtende Cartoons, die Trumps «Verrat» an den Kurden perfekt auf den Punkt bringen

Link zum Artikel

«Dort wo ich wohne, braucht man ein Auto» – so denken Erstwähler über Politik

Link zum Artikel

Den Grün-Parteien könnte es ergehen wie der SVP vor vier Jahren

Link zum Artikel

Wohin steuert der Kapitalismus?

Link zum Artikel

Die neue Bedrohung – wer sind die Incels und woher kommen sie?

Link zum Artikel

Elizabeth Warren landet nächsten Treffer gegen Zuckerberg – mit genialem Facebook-Post

Link zum Artikel

Die chinesische Hype-Firma Xiaomi kommt in die Schweiz – 7 Dinge, die du wissen musst

Link zum Artikel

Jetzt kommt die E-ID – und darum laufen Netz-Aktivisten dagegen Sturm

Link zum Artikel

Der Impeachment-Krieg ist da – so stehen Trumps Chancen

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Armuts-Studien: Der Wirtschafts-Nobelpreis geht an ein Trio

9
Link zum Artikel

Poulet sollte man waschen? Kaffee ist ungesund? 11 Food-Mythen im Faktencheck

95
Link zum Artikel

Die 21 Ladys für den Bachelor sind da: Eine von ihnen muss er nehmen ...

69
Link zum Artikel

23 vernichtende Cartoons, die Trumps «Verrat» an den Kurden perfekt auf den Punkt bringen

103
Link zum Artikel

«Dort wo ich wohne, braucht man ein Auto» – so denken Erstwähler über Politik

131
Link zum Artikel

Den Grün-Parteien könnte es ergehen wie der SVP vor vier Jahren

117
Link zum Artikel

Wohin steuert der Kapitalismus?

86
Link zum Artikel

Die neue Bedrohung – wer sind die Incels und woher kommen sie?

376
Link zum Artikel

Elizabeth Warren landet nächsten Treffer gegen Zuckerberg – mit genialem Facebook-Post

61
Link zum Artikel

Die chinesische Hype-Firma Xiaomi kommt in die Schweiz – 7 Dinge, die du wissen musst

144
Link zum Artikel

Jetzt kommt die E-ID – und darum laufen Netz-Aktivisten dagegen Sturm

148
Link zum Artikel

Der Impeachment-Krieg ist da – so stehen Trumps Chancen

67
Link zum Artikel

Das könnte dich auch interessieren:

Armuts-Studien: Der Wirtschafts-Nobelpreis geht an ein Trio

9
Link zum Artikel

Poulet sollte man waschen? Kaffee ist ungesund? 11 Food-Mythen im Faktencheck

95
Link zum Artikel

Die 21 Ladys für den Bachelor sind da: Eine von ihnen muss er nehmen ...

69
Link zum Artikel

23 vernichtende Cartoons, die Trumps «Verrat» an den Kurden perfekt auf den Punkt bringen

103
Link zum Artikel

«Dort wo ich wohne, braucht man ein Auto» – so denken Erstwähler über Politik

131
Link zum Artikel

Den Grün-Parteien könnte es ergehen wie der SVP vor vier Jahren

117
Link zum Artikel

Wohin steuert der Kapitalismus?

86
Link zum Artikel

Die neue Bedrohung – wer sind die Incels und woher kommen sie?

376
Link zum Artikel

Elizabeth Warren landet nächsten Treffer gegen Zuckerberg – mit genialem Facebook-Post

61
Link zum Artikel

Die chinesische Hype-Firma Xiaomi kommt in die Schweiz – 7 Dinge, die du wissen musst

144
Link zum Artikel

Jetzt kommt die E-ID – und darum laufen Netz-Aktivisten dagegen Sturm

148
Link zum Artikel

Der Impeachment-Krieg ist da – so stehen Trumps Chancen

67
Link zum Artikel

Abonniere unseren Newsletter

11
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
11Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Donald 24.02.2014 13:16
    Highlight Highlight Hier sieht sieht man einen Vorteil von OpenSource (wie es z.B. Android oder Linux sind). Solche Fehler würden sich niemals so verbreiten.
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 24.02.2014 16:11
      Highlight Highlight Die libsecurity_ssl ist Open Source und wird in zahlreichen Mac Projekten verwendet:
      http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 24.02.2014 16:24
      Highlight Highlight Wenn doch bloss auch in der Android Welt kritische Bugs in vernünftiger Zeit geflickt werden würde...... aber nein, der Master Key Bug ist in allen Androids bis Version 4.3 drin....
      http://www.saurik.com/id/19 und für die allermeisten Geräte (die, die man nicht auf 4.4 Updaten kann und die, deren Hersteller kein kommerzielles Interesse mehr haben), wird es nie ein Bugfix geben.
    • Donald 24.02.2014 17:19
      Highlight Highlight OpenSource und OpenSource ist nicht immer das gleiche. Es interessiert sich wohl kaum jemand für das OpenSource von Apple.

      Ja, das ist das Problem bei Android... irgendwann wird man hoffentlich sein Betriebssystem auch auf dem Smartphone so frei wählen und updaten können, wie das heute auf dem PC der Fall ist.
  • Donald 24.02.2014 13:14
    Highlight Highlight Warum jede Apple-Software betroffen ist: Weil sie alle die gleiche SSL-Bibliothek benutzen. Logisch wurde der peinliche Fehler nicht mehrmals an der selben Stelle gemacht.

    Gerade der Codeausschnitt zeigt aber den nicht optimalen Programmierstiel von Apple. Es ist ja auch nicht das erste mal. Man erinnere sich als das Aufrufen einer Website genügte, um ein Gerät zu jailbreaken. Also die Rechte für das ganze System zu erhalten. Das war noch viel schlimmer.
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 24.02.2014 12:05
    Highlight Highlight Apple User sind zudem nicht schutzlos ausgeliefert, sondern mit Hilfe eines VPN Services, ist es möglich abhören zu erschweren.
    zB.:
    https://ipredator.se/
    Zudem kann man auch zB mit seiner heimischen Internetleitung sein eigene VPN Provider sein, für wen man unterwegs ist. zB mit http://www.freelan.org/
    • Rampant 24.02.2014 17:04
      Highlight Highlight Tja, das weiss der durchschnittliche Nicht-Informatiker ja sowieso... Apple-Produkte sind End-User Produkte!
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 24.02.2014 12:02
    Highlight Highlight Die Aussage "Über Safari, Apple Mail, iCloud etc. haben Hacker freien Zugang auf iPhone, iPad und Macs." ist falsch und zeigt, dass hier jemand noch nicht wirklich verstanden hat um was es geht: Die verschlüsselte Kommunikation kann abgehört werden, es kann dadurch aber nicht in das Gerät eingedrungen werden.

    Die NSA hat zudem vermutlich Backdoors mit denen sie schon lange beliebige MitM Attacken machen kann.....
    http://en.wikipedia.org/wiki/RSA_BSAFE
  • franklyn 24.02.2014 11:32
    Highlight Highlight Ich als langjähriger Apple-User (iPhone, iPod, iMac) bin etwas enttäuscht von Apple, dass sie diesen Bug nicht von sich aus kommuniziert haben. Es macht einen weitaus schlechteren Eindruck, solche haarsträubenden Fehler auf einem x-beliebigen-Newsportal zu lesen, anstatt direkt von Apple eine Mitteilung zu erhalten... Hoffentlich beheben sie den Bug schnellstmöglich und bringen ein Update für mavericks raus.
    • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 24.02.2014 15:14
      Highlight Highlight Hier hat es Apple kommuniziert: http://support.apple.com/kb/HT1222?viewlocale=en_US

      16h bevor Watson etwas dazu geschrieben haben.
    • Rampant 24.02.2014 17:06
      Highlight Highlight Apple ist nur stark im Denunzieren anderer!
      Ihr eigener Break-Fix wird als "normaler" Update kaschiert.

Er riskierte sein Leben, um die Welt zu warnen – jetzt meldet sich Edward Snowden zurück

Schon in jungen Jahren spionierte er für die CIA in Genf. Nun will uns der Whistleblower mit einem neuen Buch zeigen, auf was es wirklich ankommt.

Edward Snowden war 30, als er alles, was ihm lieb war, hinter sich liess, um die Welt vor Big Brother und Massenüberwachung zu warnen. Jetzt meldet sich der NSA-Whistleblower, der seit 2013 in Russland im Exil leben muss, wieder zu Wort. Und seine jüngste Warnung klingt nicht weniger eindrücklich, im Gegenteil: Unsere offenen Gesellschaften und demokratischen Länder seien gefährdeter denn je.

Wir geben nachfolgend die wichtigsten Aussagen aus einem Interview wieder, das der schottische …

Artikel lesen
Link zum Artikel