Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
FILE- In this Oct. 27, 2016, file photo, Apple CEO Tim Cook speaks during an announcement of new products in Cupertino, Calif. Apple will invest $1 billion to help create more U.S. manufacturing jobs and counter recurring criticism about its reliance on overseas factories to assemble most of its iPhones and other devices. Cook announced the fund during a Wednesday, May 3, 2017, interview on CNBC’s “Mad Money.” (AP Photo/Marcio Jose Sanchez, File)

Apple vermarktet seine iPhones als besonders sicher – und ist nun unter Beschuss. Bild: AP

Interview

Sind Android-Handys sicherer als das iPhone? Die harten Fakten

Der IT-Sicherheitsexperte Marc Ruef kennt den internationalen Handel mit digitalen Waffen, sogenannten Zero Day Exploits. Er erklärt, wie Apple das iPhone besser schützen muss und warum Android-Schwachstellen mehr kosten.



Android-Sicherheitslücken sind mehr wert als iPhone-Sicherheitslücken, findet die US-Firma Zerodium und hat ihre berühmt-berüchtigte Preisliste für Zero Day Exploits angepasst. Die Ankündigung platzte am Dienstag mitten in eine besonders stürmische Phase für Apple: Gerade hatten Sicherheitsforscher von Googles Project Zero über einen breit angelegten Hackerangriff auf iPhones berichtet. Das Sicherheits-Image der Kalifornier ist ziemlich angekratzt.

Der Schweizer IT-Sicherheitsexperte Marc Ruef befasst sich seit vielen Jahren mit dem internationalen Graumarkt, der rund um Computer-Schwachstellen besteht. Nachfolgend gibt er eine professionelle Einschätzung zu Googles Android und Apples iOS, und erklärt, was sich ändern muss ...

Herr Ruef, was halten Sie von der Ankündigung von Zerodium, für Android-Sicherheitslücken erstmals mehr zu bezahlen. Ist das nur ein PR-Stunt?
Marc Ruef: Nein, im Gegenteil. Wir haben 2015 ein Modell veröffentlicht, mit dem man Exploit-Preise berechnen und voraussagen kann. Dieses hat konkret aufgezeigt, dass Android-Exploits irgendwann die Nummer 1 werden.

Laut Zerodium wurde oder wird der Zero-Day-Markt mit iOS-Exploits «überflutet». Deckt sich das mit Ihren Recherchen?
Dank unserem Modell müssen wir uns nicht nur auf die Anzahl entdeckter Schwachstellen verlassen, sondern können deren Wert konkret berechnen. Der Exploit-Markt für iOS ist in den letzten 3 Jahren sehr stabil geblieben. Der Android-Markt hingegen hat rapide zugelegt.

Es gibt immer mehr und immer durchschlagskräftigere Android-Exploits. Diese sind aufgrund der starken Fragmentierung des Android-Markts bei breitflächigen Angriffen schwierig zuverlässig einzusetzen. Zeitgleich gibt es überproportional viele veraltete Android-Versionen, die noch in Betrieb sind. Die Chancen, dass auch ein alter Exploit noch funktioniert, sind viel höher als bei iOS.

«Apple täte gut daran, mehr Ressourcen in das präventive Verhindern und eigenständige Finden von Schwachstellen zu investieren.»

Bild

iPhone-App-Entwickler: Erhöht Apple bei der eigenen Software die Qualitätskontrollen? bild: shutterstock

Sie verfolgen den Handel mit Zero-Day-Exploits seit Jahren – ist diese Preisentwicklung logisch?
Die Preise für alle Produkte befinden sich in stetigem Wachstum. iOS war vorzugsweise bei «High Value»-Zielen von Interesse, weshalb die Nachrichtendienste die Preise in die Höhe haben schnellen lassen. Bei Android haben wir jedoch den Effekt, dass hier die überdurchschnittliche Marktdurchdringung für die steigende Preise verantwortlich zeichnet.

Dieser Effekt ist wunderbar bei Webbrowsern zu beobachten: Aufgrund der hohen Verbreitung war der Internet Explorer lange Zeit der Spitzenreiter. Die Anzahl Exploits hat jedoch abgenommen und stattdessen hat Microsoft Edge, der Nachfolger, zugelegt. Spitzenreiter ist Google Chrome und wenig attraktiv sind Opera-Exploits.

Laut Zerodium sind insbesondere Safari und iMessage vermehrt angreifbar durch Exploits-Ketten. Was ist hier passiert, bzw. was hat Apple falsch gemacht?
Safari krankt wie jeder andere Browser an seiner Komplexität. Es müssen immer mehr Standards und Funktionen unterstützt werden. Mit dem Ansteigen der Komplexität vergrössert sich auch die Angriffsfläche und mit ihr die Chance, dass eine Schwachstelle ausgenutzt werden kann.

Bei iMessage hingegen hat wahrscheinlich das Verständnis der Researcher und Angreifer zugenommen, wie das System funktioniert, es untersucht und angegriffen werden kann.

Marc Ruef Scip AG

Marc Ruef, Scip AG.

Der iPhone-Hackerangriff (wohl gegen Uiguren) basierte auf 5 Exploits-Ketten und funktionierte mit einer Vielzahl iPhone-Modellen und System-Versionen. Hat dieser Fall Auswirkungen für den Exploit-Handel?
Der Markt an sich wird sich aufgrund dieser Geschichte, mindestens kurzfristig, nicht verändern. Es stellt sich aber die Frage, ob die eingesetzten Exploits nicht auch noch bei anderen Kampagnen oder durch andere Akteure eingesetzt worden sind. Falls dem so ist, haben diese Exploits unmittelbar an Nutzen und damit an Wert verloren.

Ein Exploit, der heute 2 Millionen US-Dollar wert ist, kann morgen fast gar keinen Wert mehr haben. Dafür verantwortlich sind das Erscheinen alternativer Exploits, die öffentliche Bekanntmachung der Schwachstelle oder das Herausgeben einer Gegenmassnahme.

Im jüngsten Posting von Googles Project Zero wurden zum Teil gravierende Mängel im iOS-Code bemängelt. Versagt Apple bei der Qualitätskontrolle?
Bei populären Produkten tritt irgendwann der Effekt ein, dass die meisten zugänglichen Schwachstellen gefunden sind und die Anzahl Veröffentlichungen dementsprechend abnimmt. Bei den populären Apple-Produkten bleibt dieser Effekt bisher aus. Apple täte gut daran, mehr Ressourcen in das präventive Verhindern und eigenständige Finden von Schwachstellen zu investieren, um dem zusätzlich entgegenzuwirken.

Welche eigenen Erfahrungen haben Sie mit Apple gemacht?
Wir haben ebenfalls verschiedene Schwachstellen in iOS gefunden und kennen den Umgang, den Apple mit externen Researchern pflegt. Dieser ist nicht ideal und deutet unter Umständen darauf hin, dass lösungsorientierte Sicherheit keine höchste Priorität hat. Erst vor wenigen Wochen wurde eine Meldung durch uns abgelehnt: Es handle sich nicht um ein Sicherheitsproblem. Um den Druck auf Apple zu erhöhen, werden wir die Schwachstelle öffentlich machen müssen. Technische Details werden wir zurückbehalten, um Angreifern kein Werkzeug in die Hand zu geben.

2016 meldete Marc Ruef eine von uns weitergeleitete Schwachstelle:

Erst im August hat Apple sein Bounty-Programm für Sicherheitsforscher erweitert. Das reicht nicht?
Ob eine Schwachstelle einem Hersteller gemeldet oder auf dem Schwarzmarkt zu Geld gemacht wird, ist in erster Linie von den ethischen Anforderungen des Researchers abhängig. Selbstverständlich kann eine höhere Bug-Bounty-Auszahlung motivieren, sich doch lieber zuerst beim Hersteller zu melden.

Hier gibt es jedoch zwei Probleme:

  1. Die Preise sind ein Fass ohne Boden. Wir sagen voraus, dass in den nächsten 10 Jahren die Exploit-Preise im zweistelligen Millionen-Bereich ankommen werden. Die Auszahlungen der Hersteller müssten parallel mitlaufen.
  2. Zudem ist der Hersteller auf das Versprechen des Researchers angewiesen, dass dieser im Nachgang seine Schwachstelle nicht doch noch auf dem Schwarzmarkt zu Geld machen wird. Dies ist technisch aber nicht verhinderbar.

Die mitunter wichtigste Änderung ist, dass das Bug-Bounty-Programm von Apple nun nicht mehr «invite only» ist, sondern nun weitere Researcher ihre Eingaben machen können. Die Hersteller können nur gewinnen, wenn sie mit Kunden und Sicherheitsforschern zusammenarbeiten.

2019 scheint ein besonders schlimmes Jahr für Apple zu werden, was die Sicherheit betrifft. Auch die Jailbreak-Szene feierte ein unerwartetes Comeback (dank unc0ver). Nun wird Apple bald iOS 13 veröffentlichen. Wagen Sie bezüglich Exploits eine Prognose?
Die Rhythmik der Exploits für iOS (Anzahl, Umfang, Veröffentlichung) ist eigentlich seit Jahren gleich. Es sind keine Veränderungen mit iOS 13 zu erwarten.

Die grösste Änderung dürfte sein, dass die Exploit-Problematik in der breiten Öffentlichkeit angekommen ist. Diese sollte nun den Druck auf Hersteller aufrecht erhalten, professionell mit Schwachstellen umzugehen. Dies ist leider noch immer keine Selbstverständlichkeit. Auch nicht bei grossen Firmen.

FILE- In this May 7, 2018, file photo Microsoft CEO Satya Nadella looks on during a video as he delivers the keynote address at Build, the company's annual conference for software developers in Seattle. Microsoft is paying more than $25 million to settle federal corruption charges involving a bribery scheme in its Hungary office and three other foreign subsidiaries, the U.S. Securities and Exchange Commission said Monday, July 22, 2019. (AP Photo/Elaine Thompson, File)
Satya Nadella

Bei Windows wird der Höhepunkt an Exploit-Veröffentlichungen erfahrungsgemäss 3 bis 4 Jahre nach der Veröffentlichung einer neuen System-Version erreicht. Bild: AP

Laut Zerodium soll es sehr schwierig und zeitaufwendig geworden sein, vollständige Exploits-Ketten für Android zu entwickeln, und es sei noch schwieriger, Zero-Click-Exploits zu entwickeln, die keine Benutzerinteraktion erfordern. Was sagen Sie dazu?
In unseren Vorträgen vergleichen wir die Exploit-Marktstrukturen von iOS und Android. Die Zuhörer fragen dann gerne, welches Produkt denn nun sicherer sei. Die Daten zur Marktstruktur lassen jedoch keine verlässlichen Schlüsse zur Sicherheit eines Produkts zu.

iOS und Android unterscheiden sich architektonisch, was sich indirekt auch auf die Marktstruktur der Exploits auswirkt:

Professionelle Angriffe, sowohl im staatlichen Kontext als auch Cybercrime, setzen oftmals die vollständige Kontrolle eines Smartphones voraus. Zuverlässige Exploit-Ketten können so sehr schnell komplex, aufwändig und teuer werden.

Zerodium hat die neue Exploit-Preisliste praktisch gleichzeitig mit Android 10 veröffentlicht. Sehen Sie da einen Zusammenhang?
Android 10 wird zwar einige Neuerungen in Bezug auf die Sicherheit mitbringen. Ich wage aber zu bezweifeln, dass dies der Grund für die Veröffentlichung der neuen Preisliste ist. Viel eher wollte man wohl von der jüngsten Diskussion zum Thema profitieren.

Fragmentierung als Vorteil?

Es ist allgemein bekannt: Viele Android-Smartphones laufen mit älteren, oder gar veralteten, Versionen des Google-Betriebssystems. Aber wird die häufig kritisierte «Fragmentierung» nun zum Vorteil hinsichtlich Sicherheit und Schutz vor Hackerangriffen? Bei Slashdot schreibt ein Kommentator, das Android-Ökosystem sei sehr vielfältig, und es sei oft ziemlich schwierig, eine Exploits-Kette zu finden, die sich nicht auf die Geräte eines einzelnen Herstellers beschränke oder sogar nur auf ein einziges Modell.

Teilen Sie die Einschätzung, dass Googles Android-Entwickler wegen der (bei manchen Herstellern) nur verzögert ausgelieferten Updates gezwungen waren, die System-Architektur besser und in der Tiefe abzusichern. Im Vergleich mit iOS, wo Apple innert Tagen ein Notfall-Sicherheits-Update heraushauen kann?
Dies war zu Beginn wohl kaum eine interne Anforderung. Android orientiert sich stattdessen eher an klassischen Betriebssystemen, die zum Beispiel eine Mehrbenutzer-Fähigkeit mitbringen. Diese allein setzt schon voraus, dass das Betriebssystem klare Grenzen etablieren und durchsetzen kann. Eine Anforderung, die bei iOS (noch) nicht gegeben ist.

Google dürfte aber über die Jahre hinweg gemerkt haben, dass das eigene Betriebssystem gut und gerne angegriffen wird. Als Reaktion darauf hat es eine Professionalisierung bei der Entwicklung gegeben. Es gibt aber noch viel zu tun, um Android auf einen stabilen Stand zu bringen.

Zum Schluss eine provokative Frage: Sind Android-Smartphones neuerdings sicherer als iPhones?
Nein. Alles ist nur eine Frage des Preises.

* Das Interview wurde per Mail geführt.

Die explosiven Aussagen des Zerodium-Chefs

Nachdem die Security-Broker-Firma Zerodium am Dienstag ihre Preisliste für Exploits angepasst hat, war das Interesse der Tech-Journalisten geweckt. Gegenüber Ars Technica nahm der Firmengründer und CEO Chaouki Bekrar Stellung, sorgte mit seinen Erklärungen für Diskussionsstoff.

Seine wichtigsten Äusserungen:

«In den letzten Monaten haben wir einen Anstieg der Zahl der iOS-Exploits beobachtet, vor allem von Safari und iMessage-Ketten, die von Forschern aus der ganzen Welt entwickelt und verkauft werden. Der Zero-Day-Markt ist so überflutet von iOS-Exploits, dass wir kürzlich begonnen haben, einige von ihnen abzulehnen.»

«Andererseits verbessert sich die Android-Sicherheit mit jeder neuen Version des Betriebssystems dank der Sicherheitsteams von Google und Samsung, so dass es sehr schwierig und zeitaufwendig wurde, vollständige Ketten von Exploits für Android zu entwickeln, und es ist noch schwieriger, Zero-Click-Exploits zu entwickeln, die keine Benutzerinteraktion erfordern.»

Mit diesem Tweet wurde die neue Preisliste angekündigt:

Noch Fragen? Schreib uns via Kommentarfunktion.

Verwendete Quellen:

Die bösartigsten Computer-Attacken aller Zeiten

So stoppst du die Handy-Überwachung

Play Icon

iPhone-Hacks und Exploits

watson stösst auf gravierende iPhone-Sicherheitslücke – so reagiert Apple

Link zum Artikel

Im Darknet floriert der Handel mit gefährlichen Sicherheitslücken für Handys und PCs. 7 krasse Zahlen und Fakten

Link zum Artikel

Wer Apple hackt, kann nun Millionär werden

Link zum Artikel

Apples Update-Schlamassel – gefährliche iOS-Lücke steht zurzeit wieder offen

Link zum Artikel

Wer hinter dem massiven iPhone-Hackerangriff steckt – blieben Android-User «verschont»?

Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Link zum Artikel

Auch Android und Windows von massivem Hackerangriff betroffen – was wir bislang wissen

Link zum Artikel

Google enthüllt riesige Hacker-Attacke gegen iPhone-Nutzer – steckt China dahinter?

Link zum Artikel
Alle Artikel anzeigen

iPhone-Hacks und Exploits

watson stösst auf gravierende iPhone-Sicherheitslücke – so reagiert Apple

9
Link zum Artikel

Im Darknet floriert der Handel mit gefährlichen Sicherheitslücken für Handys und PCs. 7 krasse Zahlen und Fakten

5
Link zum Artikel

Wer Apple hackt, kann nun Millionär werden

3
Link zum Artikel

Apples Update-Schlamassel – gefährliche iOS-Lücke steht zurzeit wieder offen

27
Link zum Artikel

Wer hinter dem massiven iPhone-Hackerangriff steckt – blieben Android-User «verschont»?

16
Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

34
Link zum Artikel

Auch Android und Windows von massivem Hackerangriff betroffen – was wir bislang wissen

31
Link zum Artikel

Google enthüllt riesige Hacker-Attacke gegen iPhone-Nutzer – steckt China dahinter?

59
Link zum Artikel

iPhone-Hacks und Exploits

watson stösst auf gravierende iPhone-Sicherheitslücke – so reagiert Apple

9
Link zum Artikel

Im Darknet floriert der Handel mit gefährlichen Sicherheitslücken für Handys und PCs. 7 krasse Zahlen und Fakten

5
Link zum Artikel

Wer Apple hackt, kann nun Millionär werden

3
Link zum Artikel

Apples Update-Schlamassel – gefährliche iOS-Lücke steht zurzeit wieder offen

27
Link zum Artikel

Wer hinter dem massiven iPhone-Hackerangriff steckt – blieben Android-User «verschont»?

16
Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

34
Link zum Artikel

Auch Android und Windows von massivem Hackerangriff betroffen – was wir bislang wissen

31
Link zum Artikel

Google enthüllt riesige Hacker-Attacke gegen iPhone-Nutzer – steckt China dahinter?

59
Link zum Artikel

Abonniere unseren Newsletter

18
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
18Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • bnezeli 06.09.2019 07:12
    Highlight Highlight Es wäre interessant, wenn auch ein Vergleich zum Harmony OS gemacht wird. Da kommt wohl einiges von Huawei auf uns zu.
  • El Vals del Obrero 05.09.2019 21:59
    Highlight Highlight Beide dürften ihre Vor- und Nachteile haben. Bei Apple gibt es die Updates sicher fixer und man hat weniger Freiheiten (alternative Stores etc.), die für zusätzliche Risiken sorgen können.

    Die schnelleren Updates gibt es aber nur dadurch, dass die Gerätelandschaft viel einheitlicher ist. Vielleicht 10 Modelle eines Herstellers statt 1000 Modelle von 50 Herstellern (nur Grössenordnung und nicht exakte Zahlen). Und genau diese Einheitlichkeit ist wiederum ein massiver Vorteil für Angriffe, da man mit einer bestimmten Lücke mehr Opfer findet.
  • Paddiesli 05.09.2019 17:39
    Highlight Highlight Die Überschrift müsste heissen:
    Welches ist weniger unsicher.
  • Madison Pierce 05.09.2019 16:59
    Highlight Highlight Sicherheit ist kein absolut vergleichbarer Wert. Bei Android erschwert die grosse Geräte- und damit OS-Vielfalt grossflächige Angriffe, bei iOS kann Apple dafür innert Tagen ein Update für alle Geräte zur Verfügung stellen.

    Als normaler Benutzer würde ich mir so oder so keine grossen Sorgen machen. Die Leute, welche die alltäglichen Viren verbreiten, können sich die Exploits nicht leisten und wenn, dann wollen sie sie nicht dafür verbrennen. Als Uigure oder CEO einer Grossfirma muss man sich natürlich andere Gedanken machen.
  • vandalis 05.09.2019 16:26
    Highlight Highlight "Die Preise sind ein Fass ohne Boden. Wir sagen voraus, dass in den nächsten 10 Jahren die Exploit-Preise im zweistelligen Bereich ankommen werden."

    Gehe schwer davon aus, dass die höher als im zweistelligen Bereich sind. Aber sprechen wir hier von Tsd. oder schon Mio.?
    • @schurt3r 05.09.2019 17:04
      Highlight Highlight Ja, stimmt.

      Habs angepasst im Artikel.

      Schon krass, bei solch astronomischen Summen müsste man eigentlich auf Researcher „umschulen“ :)
    • Blitzmagnet 06.09.2019 07:36
      Highlight Highlight Wenn das nur so einfach wäre. Die Preise steigen so, weil es entsprechend schwierig ist. Zumal eine zero-day vulnerability nicht viel bringt.. den Exploit zu schreiben, um sie auszunutzen.. naja.
      Schnelleres Geld, sich eine RAT suite zu kaufen und ein Botnet aufbauen und vermieten 🤣
  • MaskedGaijin 05.09.2019 16:15
    Highlight Highlight Ich hatte vor zwei Wochen plötzlich Werbung auf dem Kalender des Smartphones (Android 9). Irgendetwas mit 'gewinne ein iPhone XS...' mit einem link. War ganz schön merkwürdig.
  • Thömbé 05.09.2019 15:57
    Highlight Highlight Spannendes Interview!
    Es wäre sicher interessant zu wissen, wer schlussendlich tatsächlich die grössten Abnehmer von „Zero-Day-Exploits“ sind. Kriminelle? (Gross-)Firmen? Regierungen? Die Entwickler selbst?!
    Und vor allem wieso? Die machen das ja höchstwahrscheinlich nicht ausschliesslich für das Geld... Da blicke ich persönlich nicht ganz durch :) Ideen?
    • @schurt3r 05.09.2019 16:01
      Highlight Highlight Danke :)

      Eine spannende Frage!

      Zerodium sagt, seine Kunden seien hauptsächlich Regierungsorganisationen (und wohl vor allem auch Geheimdienste). Der Zugang zu den Zero-Day-Exploits sei stark begrenzt, heisst es.

      Nun ja ... Geld regiert.
    • Blitzmagnet 06.09.2019 07:38
      Highlight Highlight Ganz klar Geheimdienste. Haben Monster-Budgets und die Verwendung dafür.
  • Ueli der Knecht 05.09.2019 15:04
    Highlight Highlight Dieser Beitrag wurde gelöscht. Bitte formuliere deine Kritik sachlich und beachte die Kommentarregeln.
  • gupa 05.09.2019 14:56
    Highlight Highlight Danke für das interessante Interview. Bei Apple kann man neuerdings als Entwickler auch keine "Bugs" mehr melden, sondern nur noch "Feedback" geben 😉
    • Tilman Fliegel 05.09.2019 15:47
      Highlight Highlight :) Das past ja wunderbar zu Apple.
      Keine Abstürze, keine Bugs. Nur "non responsive" und "feedback".
    • dmark 06.09.2019 13:40
      Highlight Highlight Its not a bug - its a feature ;)
  • Out of Order 05.09.2019 14:50
    Highlight Highlight Spannendes Interview, danke. 👍🏻

Diese wichtige Handy-Funktion kann dein Leben retten – 68% der Schweizer kennen sie nicht

Zwei Drittel der Schweizer haben keine Ahnung, wie man rasch per Tastenkombination mit dem Handy einen Notruf absendet. Die internationale Notrufnummer kennen rund 40 Prozent nicht. Damit gefährden sie ihre eigene Rettung und die Rettung anderer.

Smartphones von Apple, Samsung, Huawei, etc. können über eine vom Handy-Hersteller eingerichtete Tastenkombination einen Notruf absetzen. Wer sich in einer Notsituation befindet und die Notrufnummer nicht wählen kann oder sich – beispielsweise im Schockzustand – nicht daran erinnert, kann so trotzdem jederzeit Hilfe rufen.Das Problem: 68 Prozent der Schweizer wissen nicht, wie man auch bei gesperrtem Handy schnell per Tastenkombination einen Notruf absendet. Gar nur eine von fünf …

Artikel lesen
Link zum Artikel