Hintertüren in Apple iOS Geräten

[ewasp]

Aus der FAZ

Keine leichte Aufgabe, aber damit jeder iPhone- und iPad-Besitzer ihn versteht, stellt Jonathan Zdziarski seine Fragen in einer Form, die viele kennen. Im Stil von „Wer wird Millionär?“ – das Ausschlussprinzip kann beim Raten helfen –, fragt er die Leser seiner 58 Seiten starken Präsentation zur Sicherheit von Apple-Geräten: „Warum gibt es einen Daten-Schnüffler auf sechshundert Millionen Apple-Geräten? Wieso kann die Verschlüsselung des Gerätes sogar per WLan unbemerkt umgangen werden?“ Drei Antworten stehen zur Wahl: A) Apple braucht den Zugang für den Datentransfer mit iTunes. B) Apple braucht den Zugang für den Kundendienst. C) Apple braucht den Zugang für Entwickler.

Natürlich waren alle drei Antworten falsch. Aber um die eigentliche Antwort drückt sich Zdziarski – ein renommierter Sicherheitsforscher, der seit Jahren Lücken in Apple-Software untersucht – nicht: „Apple hat viel dafür getan, seine Geräte gegen die typischen Angriffe von Kriminellen abzusichern. Ebenso hat Apple aber dafür Sorge getragen, staatlichen Stellen Zugriffsmöglichkeiten zu geben.“ Mit der Analyse des Betriebssystems, das Zdziarski minutiös aufschlüsselt, vervollständigt er das Bild, das mehr als ein Jahr nach den Enthüllungen Edward Snowdens von den Geheimdienstpraktiken gezeichnet werden kann.

[GeTTeX]

selbst wenn es wirklich solche hintertürchen gibt (was gar nicht so unrealistisch ist) wäre es bei den meisten geräten nicht möglich zumindest die ausgehenden verbindungen zu separieren? quasi nur "bekannte" ausgänge zu erlauben und neue "unbekannte" ersteinmal in frage zu stellen bzw sie manuell erst erlauben zu müssen? würde das problem vielleicht etwas eingränzen? mfg

[MHRCube]

Zeig mir doch einen verdammten Brief wo steht, dass der Konzern Apple die Daten an die NSA gibt. Mehr will ich doch nicht. Und komm nicht mit irgendeiner Scheise vonwegen dass man es sich durch deine rot markierten Stellen selber denken kann. Und dass diese Briefe per Zufall gefunden wurden.... WO hast du diese Info denn her? Schieb mal rüber.

[Kaito]

Ich weiß nicht, wieso sich alle über Sicherheitslücken aufregen. Also Hacker sollten sich eher deswegen freuen Und stellt euch mal die Zukunft vor. Dort werden bestimmt irgendwelche intelligente Computer betrieben, die z.B. ein ganzes System steuern. Wenn dort was schief geht, wie z.B. dass dieser Computer oder irgendein Roboter irgendeine Atomrakete startet, sollte man Zugriff bekommen auf diese Computer, um es zu stoppen. Wenn dort keine Lücke ist, sind wir alle am Arsch. SICHERHEITS-Lücke ist eig. ein passender Name. Es dient um eine Ausnutzung von Chancen für eine Notsituationen. Und man sollte auch von Kriminellen Tätern zugriff auf Geräte ermöglichen, damit man die fassen kann. Das unschuldige betroffen sind, ist eben ein Pech. Ist ihr leben wegen dieser Lücke im Gerät bedroht? Die sollten sich um guten Schutz kümmern in ihren Betriebssystemen. Dann kann kaum ein Hacker rein. NSA vilt noch, aber gegen die lässt sich auch was machen.

[!lkay]

Und man sollte auch von Kriminellen Tätern zugriff auf Geräte ermöglichen, damit man die fassen kann. Das unschuldige betroffen sind, ist eben ein Pech. Ist ihr leben wegen dieser Lücke im Gerät bedroht? Die sollten sich um guten Schutz kümmern in ihren Betriebssystemen. Dann kann kaum ein Hacker rein. NSA vilt noch, aber gegen die lässt sich auch was machen.

Selten so einen Quatsch gelesen. Sag mir doch mal bitte, wodurch der Zugriff auf milliarden von Geräten und somit auf x-milliarden Daten legitimiert wird? Dadurch, dass darunter potenziell Kriminelle sind?

Sag mir doch mal bitte, durch welche "Masken" / Attribute man den Kriminellen findet..
Als ob jemand über Whatsapp schreibt "Hab gerade eine Bank überfallen."

Um so einen Kriminellen zu Fassen muss man das VERHALTEN beobachten
und nicht die Plaintext Nachrichten von WhatsApp lesen.

Und das Verhalten von Milliarden von Personen zu beobachten, wie soll das gehen?
Man muss irgendwie Filtern, sonst findet man doch nichts.

Mal im Ernst, dass ist Humbug. Es ist doch bekannt, dass die Daten verkauft werden.

Gib mir doch mal ein paar Zahlen zur Quantität der aufgedeckten Kriminalitäten durch ausgespähte Daten
von Smartphones/Computern/Tablets.

[Sky.NET]

Und dass diese Briefe per Zufall gefunden wurden.... WO hast du diese Info denn her? Schieb mal rüber.

*schieb*
Open Secret About Google’s Surveillance Case No Longer Secret - Digits - WSJ

Zeig mir doch einen verdammten Brief wo steht, dass der Konzern Apple die Daten an die NSA gibt. Mehr will ich doch nicht. Und komm nicht mit irgendeiner Scheise vonwegen dass man es sich durch deine rot markierten Stellen selber denken kann.

Meinst du, wenn die NSA mit nem NSL vorbei kommt, dann machen die ne Presseerklärung oder schicken die per Rundbrief an alle Zeitungen? Sowas passiert hinter verschlossenen Türen!
Mal die AGBs gelesen was Apple mit deinen Daten alles machen darf? Richtig, ALLES. OHNE dich zu fragen!

Ich gebs auf, bei dir is alles verloren, du blubberst nur hier rum, informierst dich nicht, weigerst dich verlinkte Quellen zu lesen, Stammtischgelaber, mehr kommt von dir nicht.
Beschränkter gehts nicht.
Scheint mir so als ob du son Apple-Fan-Boy-Sklave bist, der nicht drauf klar kommt, dass auch Apple nun als offiziell kompromittiert gilt.

[DMW007]

Du kannst du nie sicher sein ob nicht gerade dein Festnetztelefon abgehört wird. Oder deine normalen Telefonate. Oder wie sicher du tatsächlich im Internet surfst.

Doch du kannst dir ziemlich sicher sein, dass Telefone abgehört werden. Das ist an sich genau so wenig neu wie die Telefone selbst. Schon vor 30 Jahren wurden Telefone von z.B. bekannten Mafioso abgehört, um belastendes Material zu finden. Der 'kleine' aber feine Unterschied ist: Damals brauchte man eine richterliche Erlaubnis, der ein halbwegs vernünftiger Grund (z.B. ein konkreter Verdacht) zugrunde liegt. Hier in DE müssen laut Grundgesetz sogar drei Richter zustimmen, damit Überwachung zulässig ist: Art. 13 GG - dejure.org Mittlerweile kann man schon fast sagen herrscht Generalverdacht: Prinzipiell ist erst mal jeder verdächtig, bis das entweder bestätigt oder das Gegenteil bewiesen ist.

Und natürlich kann man sich vernünftig absichern, wenn man sich entsprechend informiert und danach handelt. Klar kann man sich nicht 100%tig vor allem schützen. Du kannst auch morgen in einen Unfall geraten, wo du keine Chance hattest zu reagieren und anschließend stirbst. Es macht aber einen Unterschied, ob du regelmäßig blind eine viel befahrene Straße überquerst oder vorher schaust ob Autos kommen. Ersteres macht einen Unfall wesentlich wahrscheinlicher. Alles eine Frage der Einstellung.

Dann sollen sie die Daten, die ihnen anscheinend so wichtig sind, von mir wissen. Stören tut es keinen, denn ich habe nichts zu vergeben.

Verbergen meinst du wohl, denn das ist die typische Reaktion naiver und/oder uninformierter Menschen auf das Thema. Alle anderen stört das sehr wohl, also bitte nicht von dir auf alle schließen.

Sie haben es schon immer gemacht, dann viel Spaß weiterhin.

Natürlich wurde schon immer spioniert, aber nie in dem Ausmaß, wie es im 21. Jahrhundert möglich ist. Wenn man noch vor 20 Jahren einen Durchschnittsbürger ausspionieren wollte, musste man ihn auf Schritt und Tritt überwachen, sein Telefon abzapfen, seinen Müll durchsuchen und so weiter und so fort. Das bei jedem zu machen wäre viel zu teuer und vor allem zu auffällig. Also hat man es nur bei konkretem Verdacht gemacht, was ja auch richtig ist. Mittlerweile läuft das Großteils übers Internet und kann maschinell ausgewertet werden. Ergo keine Männer mit Anzug und Hut mehr nötig, die Müllsäcke klauen und sie stundenlang durchsuchen.
Abgesehen davon ist 'War doch schon immer so, also scheiß drauf' natürlich eine super Lebenseinstellung. Hätte man beispielsweise nach dem 2. Weltkrieg so gedacht, na dann aber gute Nacht...

Zeig mir doch einen verdammten Brief wo steht, dass der Konzern Apple die Daten an die NSA gibt. Mehr will ich doch nicht. Und komm nicht mit irgendeiner Scheise vonwegen dass man es sich durch deine rot markierten Stellen selber denken kann. Und dass diese Briefe per Zufall gefunden wurden.... WO hast du diese Info denn her? Schieb mal rüber.

Briefe gibts bei Apple schon lange keine mehr, weil diese Firma direkt in die Spionageprogramme der NSA drinhängt, und das auch nicht erst seit gestern: NSA Prism program taps in to user data of Apple, Google and others | World news | The Guardian
Gerade diese Tatsache sollte zu denken geben. National Security Letter sind nämlich noch die 'harmlosere' Variante, weil es hier um einzelne Personen geht. Große Firmen bekommen die nicht mehr, weil sie z.B. den Geheimdiensten wie der NSA direkte Schnittstellen bieten, wo sie nach Lust und Laune auf alle Daten zugreifen können. Wie man auf der 2. Folie sieht betrifft das nicht nur Apple, sondern im Prinzip alle Großen. Microsoft hat für Skype, Outook.com und den Cloud-Speicherdienst Skydrive die eigebauten Verschlüsselungen extra für die Geheimdienste aushebeln lassen: PRISM-Überwachungskandal: Microsoft ermöglicht NSA Zugriff auf Skype, Outlook.com, Skydrive | heise online

Das ist auch der Grund weshalb ich immer sage, dass man US-Firmen grundsätzlich als kompromittiert betrachten muss. Ob die eMails nun bei Apple, Google oder Microsoft liegen, ist letztendlich alles gleich unsicher. In diesem Fall geht es aber noch mal zwei Schritte weiter: Hier sind nicht 'nur' direkte Dienste betroffen, sondern ein komplettes Handy-Betriebssystem.

Und um noch mal auf das Thema Lügen von US-Unternehmen zurückzukommen: Es gibt bereits einige Präzedenzfälle, wo Unternehmen fest behauptet haben, nicht mit der NSA zusammen zu Arbeiten und schon gar keine Hintertüren für Geheimdienste in die eigenen Produkte verbaut zu haben. Etwas später kam dann heraus, dass genau das Gegenteil der Fall war. Ein bekanntes Beispiel ist RSA Security, wo die NSA sogar 10 Millionen Dollar (!) gezahlt hat, damit die Verschlüsselung in Software von RSA-Security geschwächt wird: US-Geheimdienst: NSA kaufte sich bei Internetsicherheitsfirma ein | ZEIT ONLINE

Solche und ähnliche Fälle gibt es genug. Die amerikanische Regierung will Überwachung um jeden Preis, vollkommen egal, was dafür alles für Gesetze gebrochen werden müssen.

Ich weiß nicht, wieso sich alle über Sicherheitslücken aufregen. Also Hacker sollten sich eher deswegen freuen

Tolle Sichtweise. Schon mal daran gedacht, dass wir nicht alles Hacker sind? Oder dass nicht alle Hacker Ihr Wissen für 'gute' Zwecke einsetzen? Die NSA ist voll von solchen Leuten. Da wird beispielsweise auf Basis von Meta-Daten getötet. Heißt: Wenn du auch nur Kontakt mit einem Terroristen hattest, wirst du als eben solcher eingestuft und ggf. auch umgebracht. Ob das der Nachbar ist und du keine Ahnung davon hast was er in seiner Freizeit so treibt weil er eben nicht dem typischen Klischee eines Terroristen wie Osama Bin Laden entspricht, interessiert keinen. Da heißt es: Erst töten, anschließend Fragen stellen.

Und stellt euch mal die Zukunft vor. Dort werden bestimmt irgendwelche intelligente Computer betrieben, die z.B. ein ganzes System steuern. Wenn dort was schief geht, wie z.B. dass dieser Computer oder irgendein Roboter irgendeine Atomrakete startet, sollte man Zugriff bekommen auf diese Computer, um es zu stoppen. Wenn dort keine Lücke ist, sind wir alle am Arsch. SICHERHEITS-Lücke ist eig. ein passender Name. Es dient um eine Ausnutzung von Chancen für eine Notsituationen. Und man sollte auch von Kriminellen Tätern zugriff auf Geräte ermöglichen, damit man die fassen kann. Das unschuldige betroffen sind, ist eben ein Pech. Ist ihr leben wegen dieser Lücke im Gerät bedroht? Die sollten sich um guten Schutz kümmern in ihren Betriebssystemen. Dann kann kaum ein Hacker rein. NSA vilt noch, aber gegen die lässt sich auch was machen.

Also wir fassen zusammen: Am Anfang sagst du Hacker sollten auf sensible Systeme zugreifen können, damit so im Notfall die Kontrolle wiedererlangt werden kann. Am Schluss wiederum sagst du das Gegenteil, nämlich dass Systeme vernünftig geschützt werden sollen, damit genau das nicht passiert. Also was jetzt?
Hast du überhaupt mal darüber nachgedacht, welches enorme Missbrauchspotenzial das ganze birgt? Sicherheitslücken kann nicht nur der 'gute' Hacker ausnutzen, der in einer Notsituation helfen will. Kann genau so gut ein Feind ausnutzen, um Schaden anzurichten. Im Beispiel deiner Atomrakete sogar im Zielland, ohne auch nur eine Waffe mitnehmen zu müssen. Der Gegner wird also mit seinen eigenen Waffen geschlagen.
Und von wegen Lebensbedrohung durch Lücken, die gibt es sehr wohl: https://u-labs.de/filme-serien-und-t...-hacker-33754/
Sogar heute schon. Steckt natürlich auf beiden Seiten alles noch in den Kinderschuhen. Aber der Trend geht klar dahin, dass überall Computer verbaut werden und alles mit allem vernetzt wird. Dazu kommt noch die Tatsache, dass diese Bedrohung noch nicht so ernst genommen wird und die Technik dahinter teilweise aus einer noch älteren Zeit stammt, wo man bei dem Wort 'Hacken' eher an Holz dachte. Hab da mal eine Sicherheitslücke drin, die z.B. in einem Auto den ferngesteuerten Zugriff auf Gas und Bremse ermöglicht. Da fehlt nur jemand der dich hasst und nicht mehr alle Tassen im Schrank hat. Oder du bist jemandem aufgrund deines Jobs (z.B. Journalist), deiner Einstellung oder aus sonstigen Gründen ein Dorn im Auge.

Es gab bereits einzelne seltsame Autounfälle wie z.B. erst letztes Jahr der von Michael Hastings. Ganz 'zufälligerweise' war dieser Mann als sehr kritischer Reporter bekannt, der sich vor diesem 'Unfall' tagelang beobachtet und nicht mehr sicher fühlte. Und dazu am Vorabend noch seiner Freundin berichtete, dass er an einer großen Sache dran ist. Ich bin ja kein Fan wilder Verschwörungstheorien, aber das sind mir doch ein bisschen zu viele Zufälle. Wenn ich sehe, wie die US-Regierung ihre Interessen mit aller Gewalt durchsetzt und es sogar offene Morddrohungen aus den Reihen des Verteidigungsministeriums gegen ihn geben soll, bezweifle ich doch stark, dass es sich wirklich um einen Unfall handelte. Aber solche Tatsachen spiegeln sehr gut die Verlogenheit der Regierungen wieder, allen voran die der USA.

[GeTTeX]

Ich weiß nicht, wieso sich alle über Sicherheitslücken aufregen. Also Hacker sollten sich eher deswegen freuen ... SICHERHEITS-Lücke ist eig. ein passender Name. Es dient um eine Ausnutzung von Chancen für eine Notsituationen.

nunja, generell hast du nicht unrecht.. jedoch geht es hier nun mal nicht um irgendwelche "objekte" welche zur gefahr werden können (beispiel: atomrakete )
klar sollten hacker eigendlich froh darüber sein, jedoch sind es in diesem fall ja ansich keine "sicherheitslücken" welche es gilt auszunutzen sondern um spezielle hintertüren (scheinbare, ob nun bestätigt oder nicht sei dahingestellt.. würde offiziell ja sowieso keiner zugeben ^^) sondern einzig und alleine darum sich gegen die nutzung seiner eigenen persönlichen daten von dritten zu schützen.
sollte also sich jmd damit befassen wollen oder hat sich bereits damit befasst und kennt mittel und wege sich davon ein wenig abzuschirmen fände ich es zumindest ganz sinnvoll es zu wissen : )

[Varioas]

Und wer glaubt, dass nur Apple abgehört wird, der ist in meinen Augen dumm. Die hören mittlerweile alles ab. Wenn die in der Lage deine Stimme auf Grund der Schallwellen von einer Fensterscheibe abzuhören, dann hören die sicher auch eure ach so sicheren Andoir / Windows Phones ab

Es geht hier nicht darum, wer alles abgehört wird, sondern das von Apple geziehlt Software installiert wurde, die das einsehen von private Daten noch stärker erleichtert. Wenn du Apple gut findest, dann benutz es halt, keiner sagt hier dass es jz auf einmal scheiße sei. Ich hab auch die letzten drei Jahre nur Apple benutzt und war/bin sehr zufrieden (hatte jailbreak ).

[StarWarsFan]

Es geht hier nicht darum, wer alles abgehört wird, sondern das von Apple geziehlt Software installiert wurde, die das einsehen von private Daten noch stärker erleichtert.

Das ist der Punkt! Alle großen amerikanischen Firmen arbeiten mit den Spionagediensten der Regierung zusammen. DMW hat da oben einen guten Link zu gepostet. Deswegen sollte man von den Ami-Firmen lieber die Finger lassen. Gibt ja genug Alternativen. Keiner ist auf Google Drive & co angewiesen.

Wenn du Apple gut findest, dann benutz es halt, keiner sagt hier dass es jz auf einmal scheiße sei.

Naja also das Vertrauen gegenüber iPhone und iPad ist nach der Aktion schon ziemlich im Eimer. Apple prahlte immer mit großer Sicherheit. Die kann man knicken, weil die Regierungen jederzeit alle Daten vom Gerät klauen können. Als wäre das nicht schlimm genug, können diese Hintertüren natürlich auch von Nicht-Politischen Hackern zum Datenklau missbraucht werden. So auf die leichte Schulter zu nehmen ist das nicht. Privatpersonen steht es natürlich frei, auf Ihre Privatsphäre zu scheißen. Ist anscheinend gerade eh in Mode, dass den Leuten alles egal ist und man mit der Yolo Einstellung durchs Leben geht. Halte ich nicht viel davon wenn man sich anschaut wie es z.B. in China drunter und drüber geht wo die Leute dieses Privileg nicht haben und man mal eben im Knast landet weil man etwas kritisiert. Aber muss schließlich jeder selbst wissen wie viel ihm sein Leben wert ist.

Bei uns in der Firma habe ich das angesprochen da ich unsere Firmendaten unter den Umständen in großer Gefahr sehe. Mein Chef wusste das schon und hat gesagt, dass die Dinger rausfliegen. Hier geht es dann halt um Geld und sogar die Existenz. Das ist etwas mehr wie eine Privatperson, der durch ihre naive Einstellung im schlimmsten Fall das Leben ruiniert wird.