Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Apple CEO Tim Cook, right, and China Mobile's chairman Xi Guohua are silhouetted against a screen showing iPhone products as they applaud during a promotional event that marks the opening day of sales of China Mobile's 4G iPhone 5s and iPhone 5c at a shop of the world's largest mobile phone operator in Beijing, China, Friday, Jan. 17, 2014. (AP Photo/Alexander F. Yuan)

Der auf Apple-Geräte spezialisierte Sicherheitsforscher Jonathan Zdziarski enthüllt versteckte Diagnose- bzw. Schnüffelprogramme im Betriebssystem iOS für das iPhone und iPad. Sie sind insbesondere eine Gefahr für Firmengeheimnisse. Bild: Alexander F. Yuan/AP/KEYSTONE

Hintertür in iOS

Apple-Experte enthüllt heimlich eingebaute Sicherheitslücken in 600 Millionen iPhones und iPads

Seit Jahren versteckte Hintertüren in Apples Betriebssystem iOS sollen es Angreifern leicht machen, SMS, Fotos oder das Adressbuch auszulesen. Auch Apple selbst kann so auf Nutzerdaten zugreifen, selbst wenn das iPhone passwortgeschützt und das Backup verschlüsselt ist.



Apples iPhone und iPad gelten als relativ sicher. Auch Sicherheitsforscher Jonathan Zdziarski stellt dem Apfel-Konzern ein gutes Zeugnis aus: «Apple hat einen guten Job gemacht, um iOS gegen typische Hacker-Attacken zu sichern.» Das Problem, auf das Zdziarski nun aufmerksam macht: Apple selbst untergrabe die Sicherheitsbemühungen mit heimlich im Betriebssystem eingebauten Hintertüren. 

Diese erlauben es Apple – aber auch Behörden und Kriminellen – auf persönliche Nutzerdaten zuzugreifen, selbst wenn der Nutzer das Gerät mit einem Passwort schützt und ein verschlüsseltes iTunes-Backup anlegt. Konkret kann Apple auf Gesuch von US-Behörden SMS, Fotos, Videos, das Adressbuch, Audioaufnahmen und die Anrufliste auslesen. «Ein Grossteil dieser Daten sollten das iPhone niemals verlassen, nicht einmal im Rahmen eines Backups», schreibt Zdziarski. 

Verschlüsselt, aber nicht sicher

Apples mobiles Betriebssystem iOS könne ohne das Wissen der Nutzer zahlreiche persönliche Daten an Dritte weiterreichen, warnt der auf Apple-Geräte spezialisierte Sicherheitsforscher Zdziarski. Er habe eine ganze Reihe an versteckten Systemprogrammen gefunden, die von der Polizei, Geheimdiensten wie der NSA und anderen genutzt werden könnten. 

Der Dienst com.apple.mobile.file_relay, der seit iOS 2 Bestandteil des Betriebssystems ist, umgehe die iOS-eigene Verschlüsselung vollständig und lege so einen «ganzen Schatz an wertvollen Daten» frei. Für den Zugriff auf die persönlichen Nutzerdaten sei das einmalige Verbinden des iPhone oder iPad mit einem Computer notwendig. Andere Systemprogramme seien zwar in erster Linie für Administratoren in Unternehmen gedacht, könnten aber auch für nicht autorisierte Zwecke genutzt werden. 

Einem Angreifer sei, wenn das Gerät zuvor mit einem PC oder Mac verbunden worden ist (Pairing), auch die Aktivierung eines integrierten Sniffers möglich. Dieser könne sämtlichen Datenverkehr mitschneiden, ohne dass iOS dies dem Nutzer mitteilt. Dies funktioniere auf jedem iOS-Gerät von Haus aus. Die nun publik gemachten Hintertüren in iOS sind «seit Jahren implementiert, sie waren nur bislang nicht dokumentiert», sagt der Schweizer Sicherheitsexperte Stefan Friedli. 

Keine Antwort von Jobs und Cook

Sicherheitsforscher Zdziarski betont, er habe sowohl von Steve Jobs als auch Tim Cook mehrfach eine Erklärung für die undokumentierten Dienste gefordert – jedoch nie eine erhalten.

Klar ist: «Die von Jonathan Zdziarski beschriebene Funktionalität erlaubt es einem Angreifer mit direktem Zugang zum Smartphone weitreichende forensische Daten vom Gerät zu holen», sagt Friedli. Sprich Daten, die von Strafermittlern genutzt werden könnten. «Aufgrund der grossen Verbreitung der Apple-Smartphones und -Tablets ist dies als problematisch zu betrachten», aber Panik sei trotzdem Fehl am Platz.

Während seiner Präsentation an der Hacker-Konferenz HOPE (Hackers on Planet Earth) in New York schilderte Zdziarski die Funktionsweise mehrerer Programme, die im Hintergrund von iOS laufen, aber weder Administratoren in Firmen dienten noch Drittentwicklern oder Apples eigenen Mitarbeitern. Die zentrale Frage sei daher, wozu sonst Apple in all seinen iPhones und iPads seit Jahren versteckte Hintertüren einbaue.

Als problematisch stuft der Schweizer Sicherheitsexperte Friedli die Sicherheitslücken für Firmen ein. Zentral sei die Erkenntnis von Zdziarski, dass es einen grossen Unterschied zwischen der iPhone-Sperre beim Einschalten des Smartphones sowie der Sperre im laufenden Betrieb gibt. Letzterer führe nicht dazu, wie oft fälschlicherweise angenommen, dass die Daten auf dem Gerät durch die Verschlüsselung geschützt seien. «Das heisst, dass Geräte, die im laufenden Betrieb entwendet werden, nicht angemessen geschützt sind», sagt Friedli. Wird einem Mitarbeiter ein passwortgeschütztes iPhone oder iPad gestohlen, können Hacker auf die Daten zugreifen.

Bild

Zdziarski hat in seinem Vortrag einige wichtige Fragen an Apple formuliert. Die Antworten stehen aus. Grafik: Jonathan Zdziarski 

Sicherheitslücken wurden ausgenutzt

Zdziarski warnt, dass Apples Hintergrunddienste Angreifern die Möglichkeit geben, Spyware auf das Gerät zu laden, indem sie die Software als Sicherheitszertifikat tarnten. Er selbst habe eine entsprechende Schnüffelsoftware programmiert und Apple habe diese Sicherheitslücke inzwischen geschlossen. Da in iOS offenbar mehrere Hintertüren schlummern, können sich iPhone- und iPad-Nutzer derzeit kaum wirksam gegen Spähangriffe von staatlichen Behörden schützen. Geheimdienste in den USA, aber auch bei uns, können zum Beispiel am Zoll ein iPhone abfangen, es kurz mit einem PC verbinden und künftig die Hintertüren ausnutzen.

Zdziarski vermutet, dass auch die NSA diesen Weg genutzt haben könnte, um Zielpersonen zu beobachten. Er verweist auf Berichte, dass die NSA versuchte, über Desktoprechner Smartphones wie das iPhone auszuspähen.

Auch Anbieter von kriminaltechnischen Geräten hätten Apples Hintergrunddienste bereits ausgenutzt. Behörden in den USA brauchten angeblich deren Forensik-Software, um Verdächtige zu überwachen. Zdziarski  glaubt allerdings nicht an eine «grosse Verschwörung» oder dass Apple die Hintertüren gezielt für die NSA entwickelt habe.

Apple dementiert Zusammenarbeit mit NSA

Apple hat inzwischen gegenüber der «Financial Times» dementiert, dass man absichtlich für US-Behörden Hintertüren in das mobile Betriebssystem iOS eingebaut habe. Bei den angeblichen Hintertüren handle es sich um Schnittstellen, um etwaige Fehler zu diagnostizieren. Sicherheitsforscher Zdziarski hält an seiner Aussage fest, dass die Hintertüren dafür nicht geeignet seien und auf jeden Fall standardmässig deaktiviert sein müssten.

Apple dementiert mit Regierungen zusammenzuarbeiten, um Hintertüren einzubauen.

Apples Problem: Das Dementi ist nicht glaubwürdig, da US-Unternehmen grundsätzlich die Zusammenarbeit mit Geheimdiensten wie der NSA verneinen müssen. Das gilt auch für andere IT-Konzerne wie Google, Facebook oder Microsoft.

Kommt hinzu: Dass Apple Nutzerdaten aus verschlüsselten Backups auslesen und an die US-Strafverfolgungsbehörden weitergeben kann, ist spätestens seit Mai 2014 bekannt. Auf der Firmenwebeite beschreibt Apple, welche Daten aus passwortgeschützten iPhones extrahiert werden können und an die US-Strafverfolgungsbehörden ausgehändigt werden müssen. watson hat Apple Schweiz bereits Anfang Mai auf diesen Sachverhalt angesprochen. Apple wollte sich nicht weiter äussern und verwies auf ein 33 Seiten umfassendes Online-Dokument zur «Sicherheit von iOS».

Unterdessen in der Apple-Firmenzentrale ... 

Hacker Zdziarski reagiert mit Spott auf Apples Antwort.

Weitere Informationen:

- Heise Security

- Zdziarskis Präsentation als PDF

- Zdziarskis Blogpost zu den Hintertüren

- Apples Antwort

Das könnte dich auch interessieren:

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

102
Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

22
Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

58
Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

31
Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

13
Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

6
Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

31
Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

0
Link zum Artikel

Das könnte dich auch interessieren:

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

102
Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

22
Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

58
Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

31
Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

13
Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

6
Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

31
Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

0
Link zum Artikel

Abonniere unseren Newsletter

4
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
4Alle Kommentare anzeigen

Diese 15 super-nützlichen Apps solltest du unbedingt kennen

Songkick informiert dich, sobald deine Lieblingskünstler oder deine favorisierten Bands in der Nähe auftreten. Das Risiko, bei angesagten Künstlern schon wieder kein Ticket zu ergattern, sinkt mit der App drastisch.

Im Google Play Store herunterladenIm Apple App Store herunterladen

Too Good To Go ist eine App gegen Lebensmittelverschwendung. Sie will Restaurants, Bäckereien, Supermärkten und Hotels helfen, weniger Lebensmittel wegwerfen zu müssen. Als Nutzer wählt man ein Restaurant oder Laden …

Artikel lesen
Link zum Artikel