Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Und Sie? Update schon gemacht?

Heute hacken wir einen Mac. Geht nicht? Geht doch! 

Millionen Macs, iPhones und iPads stehen seit Monaten offen wie Scheunentore. Wer das aktuelle Sicherheits-Update jetzt noch nicht installiert hat, sollte dies schleunigst nachholen. Wir haben einen Hacker auf einen watson-Mitarbeiter angesetzt, der Updates lieber wegklickt, als sie zu installieren. Die unangenehmen Folgen sehen Sie im Video.



Die Zutaten für unser Hacking-Experiment sind rasch zur Hand:

Wir haben das neuste Update installiert, unser Kollege und watson-Mitarbeiter Can Külahcigil jedoch nicht. Bild: watson

Bild

watson-Redaktor und Apple-User Can Külahcigil (im Hintergrund) in einem Café in Zürich: Wir haben Hacker Stefan Friedli (im Vordergrund) auf ihn angesetzt. Unser Arbeitskollege weiss, dass wir ihn hacken wollen, glaubt aber noch nicht so ganz an den Erfolg. Bild: watson

1. Eine gravierende Sicherheitslücke

Seit Monaten gibt es in Apple-Geräten eine kritische Sicherheitslücke genannt «goto fail». Kriminelle und Geheimdienste, die allenfalls seit langem davon wussten, konnten Apple-Nutzer unbemerkt ausspionieren: E-Mails, Facebook, E-Banking, Facetime-Gespräche etc. Panik ist trotzdem nicht angezeigt: Im Alltag ist nur gefährdet, wer in Cafés, im Zug oder an Flughäfen ein öffentliches WLAN nutzt und das neuste Update nicht installiert hat.

Fehler

Apple-Geräte, die nicht auf dem neusten Stand sind, können gehackt werden, wenn sich der Nutzer in einem öffentlichen WLAN befindet: Schuld ist eine einzige Codezeile, welche die Verschlüsselung im iPhone, iPad und Mac aushebelt. Bild: Spiegel Online

2. Ein verspätetes Update

Am Freitag vor einer Woche veröffentlichte Apple in aller Stille ein wichtiges Sicherheits-Update für das iPhone und iPad. Vier Tage später reichte der Tech-Konzern auch für Mac-Nutzer eine Aktualisierung nach, die die «goto fail»-Lücke stopft. Das Problem: Die Schwachstelle hatte beim iPhone bereits seit September 2012 bestanden, beim Mac seit Dezember 2013.

3. Update-faule User

Eine Woche ist seit dem iOS-Update verstrichen: Doch bis jetzt haben nur rund die Hälfte der iPhone- und iPad-Nutzer auf die neuste Version iOS 7.0.6 aktualisiert, wie ein Blick in die Betriebssystem-Statistik zeigt. Beim Mac hat vermutlich erst ein Bruchteil der User das wichtige Update 10.9.2 installiert. Millionen Apple-Geräte sind also weiter angreifbar.

4. Apples Krisen-Kommunikation

An der schlechten Update-Quote sind nicht nur die User schuld: Apple selbst tut wenig, um seinen Kunden die Dringlichkeit kritischer Aktualisierungen zu vermitteln. In einer kurzen Notiz heisst es vage: «Das Update 10.9.2 wird allen Benutzern von OS X Mavericks empfohlen. Es verbessert die Stabilität und die Sicherheit ihres Mac.» Eine eindringliche Warnung klingt anders.

5. Unvorsichtige User

watson-Mitarbeiter Can Külahcigil gehört zum Schlag unbeschwerter Menschen, die auch mal am Flughafen in Istanbul ins E-Banking einloggen. Keine gute Idee! Kriminelle nutzen Orte mit öffentlichen WLANs, etwa die Business Lounge eines Flughafens oder die erste Klasse im Zug zwischen Bern und Zürich, um sich in fremde Geräte zu hacken. 

Bild

Die Folgen des Apple-Fehlers: IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip fängt die Passwörter von watson-Mitarbeiter Can Külahcigil in einem öffentlichen WLAN ab. Bild: watson

6. Unser Hacker legt los


Külahcigil hat das Update gesehen, aber einfach weggeklickt. Jetzt lassen wir unseren bestellten Hacker auf sein MacBook los. Külahcigil sitzt im Café und ist informiert, dass wir ihn hacken wollen. Was er nicht ahnt, ist, wie schnell IT-Spezialist Stefan Friedli von der Sicherheitsfirma Scip sein Gmail- und Facebook-Konto kapert (siehe obenstehendes Video). Unser Hacker kann nun im Namen des watson-Mitarbeiters auf Facebook wüten. Immerhin: Külahcigils Bankkonto haben wir verschont. Aber auch dort wären kriminelle Hacker reingekommen.

Bild

Stefan Friedli weiss, wie man Apples-Verschlüsselungsfehler ausnutzen kann. watson-Redaktor Külahcigil sitzt nur einen Tisch weiter und bekommt vom Einbruch in sein Facebook-Konto nichts mit. Bild: watson

Zum Abschluss erlauben wir uns noch einen kleinen Spass: Unser Kollege verlässt das Café. Wir haben inzwischen Zugriff auf seine iCloud. Über die iPhone-Ortung verfolgen wir ihn am Bildschirm und sperren ihm das iPhone.

Bild

Kollege Külahcigil hat das Gebäude verlassen. Wir können ihn bzw. sein iPhone auf der Map verfolgen. Bild: watson

7. So schützen Sie sich 

Das könnte dich auch interessieren:

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

95
Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

18
Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

56
Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

31
Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

12
Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

4
Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

30
Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

0
Link zum Artikel

Das könnte dich auch interessieren:

Glück vor Geld – Island treibt Wirtschaft der Zukunft voran

95
Link zum Artikel

Shaqiri erhält nach Traum-Comeback ein Sonderlob von Klopp – und eine Entschuldigung

18
Link zum Artikel

Ho ho ho! Der Bundesrat schnürt das Budgetpäckli: Dafür gibt er am meisten Geld aus

56
Link zum Artikel

Das beste Kamera-Handy gibt's jetzt in der Schweiz – wir haben es getestet

31
Link zum Artikel

Diese Schweizer Organisationen erhalten am meisten Spendengelder

12
Link zum Artikel

TikTok zensiert Videos von Menschen mit Behinderung – um sie vor Mobbing zu schützen 🤔

4
Link zum Artikel

Wegen «Wildwest-Modell» von Uber & Co. – warum bald Millionen in den AHV-Kassen fehlen

30
Link zum Artikel

Alphabet Inc. – das macht der Mega-Konzern hinter Google wirklich

0
Link zum Artikel

Abonniere unseren Newsletter

12
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
12Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • tobeylucas 03.03.2014 14:21
    Highlight Highlight Neulich in der Push-Nachrichten Zentrale bei watson... ;)
    Benutzer Bild
  • tommynator 01.03.2014 19:23
    Highlight Highlight Ok, Facebook-Konto, mail etc. Aber alles was über eine "einfache" Verschlüsselung mit gleichbleibendem user & pw ist für den 08/15 Hacker nicht möglich. (minimal) Variable login-Bestandteile im e-Banking sind längst standard. Trotzdem beängstigende Lücke!
    • tux_ping 02.03.2014 01:48
      Highlight Highlight Kommt auf die Angriffsart an. Wenn man mit dieser Sicherheitslücke in einem öffentlichen Netz durch eine MITM-Attacke als Proxy(auch für SSL-Verbindungen) fungiert, kann man mittels Session-Hijacking die Session abgreifen. Man kommt so zwar nicht ans Passwort ran und man ist nur für eine kurze Zeit angemeldet, aber das reicht oft schon, um Schaden zu verursachen.
  • Donald 01.03.2014 14:08
    Highlight Highlight Man sollte auch wissen, dass die Gefahr nicht nur in offenen WLAN besteht. Das ist einfach das einfachste Beispiel. Aber mit diese Sicherheitslücke können auch ausgenutzt werden, wenn man zu Hause ins Internet geht.
  • kmaloney 01.03.2014 13:48
    Highlight Highlight Coole Story, weiter so watson. Quch wenn der PC nicht "gehackt" wurde, zeigt das Beispiel schön, was passieren kann im öffentlichen Netz.
    • Oberon 01.03.2014 20:43
      Highlight Highlight Das kann natürlich überall passieren, aber das war wohl das einfachste um dieses Thema auch etwas weniger technisch visierten Personen zu visualisieren.
  • Jürg Willi 01.03.2014 13:41
    Highlight Highlight Sagt mal, schreibt ihr auch so intensiv, reisserisch und wiederholt von den gefühlten mehreren hundert Sicherheitslücken von Microsoft in den letzten Jahren??
    • Donald 01.03.2014 20:13
      Highlight Highlight Dies ist eine gravierende Lücke. Dies muss getestet werden bevor Software veröffnetlicht wird. In etwa so als könnte man eine Türe noch öffnen wenn man den Schlüssel gedreht hat.
    • Oberon 01.03.2014 20:39
      Highlight Highlight Zumindest klärt jemand mal auf, dass Sicherheitsupdates nichts sinnloses sind.

      Natürlich sind alle Systeme anfällig und wenn ein Zugriff nötig ist, bekommt man den auch.

      Aber solange es immer noch Personen gibt, die auf alles klicken was auf dem Bildschirm erscheint, macht es schon Sinn die Leute weiter zu sensibilisieren.

  • rolo 01.03.2014 12:30
    Highlight Highlight betrifft es auch osx 10.6 oder nur den maverick?
    • Oliver Wietlisbach 01.03.2014 12:49
      Highlight Highlight Die hier ausgenutzte Lücke in der SSL-Verschlüsselung von Safari, iCloud, Apple Mail etc. besteht wohl erst seit OS X 10.9 Mavericks. Mit 10.9.2 ist sie geschlossen.

      Ältere Mac-Versionen haben andere Schwachstellen, die es ermöglichen können, SSL-verschlüsselte Daten zu entschlüsseln oder Schadcode auszuführen. Weitere Informationen gibt es hier: http://heise.de/-2122971

    • Donald 01.03.2014 20:16
      Highlight Highlight In Zeiten der Cloud kommt das einem Hacken vom Computer gleich. Sogar ist man noch betroffen wenn der Computer nicht mehr läuft. Aber natürlich ist die Formulierung nicht ganz richtig.

Facebook verbietet Zürcher Schwulen-Werbung und krebst dann zurück

Das Zürcher Gesundheitszentrum für queere Menschen Checkpoint Zürich wollte zum Welt-AIDS-Tag ein Video auf Facebook bewerben, in dem sich unter anderen zwei Männer küssen. Facebook sagte nein. Zweimal. Bis sich watson einschaltete.

Nahaufnahme. Ein männliches Gesicht mit Bart. Der Mann schminkt sich. Schnitt. Eine blonde Frau, die ernst in die Kamera blickt. Schnitt. Zwei Männer, die sich küssen. Schnitt.

Das Video geht noch weiter, aber für die Verantwortlichen bei Facebook war an diesem Punkt wohl schon klar: Dieses Video ist nicht tragbar.

Und so verweigerte Facebook dem Checkpoint Zürich, einem Gesundheitszentrum für queere Menschen, dieses Filmchen als Werbung zu schalten. Begründung: «Das Video beinhaltet sexuelle …

Artikel lesen
Link zum Artikel