Seite 3: iOS-Lücken und iCloud-Erpressung

Inhaltsverzeichnis

Mac & i: Und was ist mit iOS?

Wardle: Dort habe ich ein deutlich besseres Gefühl zu sagen, dass es unwahrscheinlich ist, dass wir einen Wurm sehen werden, der sich auf Geräten ohne Jailbreak fortpflanzt. Ein großer Nebeneffekt der Tatsache, dass Apple iOS und iOS-Geräte derart eng kontrolliert, ist, dass die Plattform ein erstaunlich hohes Sicherheitsniveau hat. Exploits für iOS, also noch unbekannte Sicherheitslücken, mit denen man Geräte übernehmen kann, kosten Millionen Dollar.

Falls nicht eine zum Wurm ausnutzbare Sicherheitslücke eines Geheimdienstes geleakt wird – bei WannaCry hat das die Gruppe „Shadow Brokers“ getan – ist es sehr unwahrscheinlich, dass irgendjemand eine derart wertvolle Sicherheitslücke für einen Wurm oder ein Botnetz „verbrennen“ würde. Ich bin skeptisch, dass das passiert. Hinzu kommt, dass Apple iOS-Fehler schnell behebt und iOS-Nutzer auch grundsätzlich schnell updaten.

Mac & i: Hacks von iCloud-Accounts, bei denen Diebe dann versuchen, Geld von Nutzern zu erpressen, hat es aber bereits gegeben. Ist das ein Problem, mit dem wir künftig leben müssen?

Wardle: Ja, unglücklicherweise ist das eine Methode, Geld zu verdienen – und böse Hacker werden es weiter versuchen. Angreifer knacken entweder iCloud-Zugangsdaten mittels „Brute Force“-Verfahren, also dem Ausprobieren aller möglicher Kombinationen. Oder sie erhalten sie durch Social-Engineering, durch Phishing oder mit Hilfe von Malware, die Tastatureingaben aufzeichnet, wenn der Nutzer sein Passwort eingibt.

Mac & i: Ist es Malware auch möglich, einen iCloud-Account darüber auszuschnüffeln, einen Mac per Firmware-Passwort zu schützen und dann Geld zu erpressen? Fortschrittliche Malware wie die Ransomware „OSX/KeRanger“ haben Sie ja schon genannt. Mit „Proton“ kursierte kürzlich auch noch ein fortschrittlicher Mac-Trojaner.

Wardle: Ähnlich wie bei anderen Einbrüchen und Password-Leaks können iCloud-Zugangsdaten zum Zugriff auf sensible Daten führen, die für böswillige Hacker sehr interessant sein können – etwa Nacktbilder, wie es von iCloud-Hacks auf Promis bekannt wurde. Mit solchen sensiblen Daten könnte man dann wieder Menschen erpressen. Ich zweifle allerdings daran, dass das auf Dauer ein erfolgreiches Geschäftsmodell für Hacker ist – weil ich hoffe, dass die Leute sich darauf nicht einlassen, zumal die Angreifer sicherlich eine Kopie behalten.

Wahrscheinlicher sind in der Tat Erpressungsversuche, bei denen man ein Gerät beispielsweise über die iCloud-Funktion „Meinen Mac finden“ sperrt und dann Geld für die Wiederöffnung verlangt. Obwohl Apple hier helfen kann, wenn man beweisen kann, dass man der legitime Besitzer des Gerätes ist, dürfte die Mehrheit der betroffenen Nutzer darauf hereinfallen und den Hacker bezahlen.

Mac-Malware mit Apple-Entwicklerzertifikat

Mac & i: In letzter Zeit gab es mehrfach Fälle von macOS-Malware, die mit einem echten Apple-Entwicklerzertifikat ausgeliefert wurde. Wird sich der Trend fortsetzen? Kann Apple überhaupt etwas dagegen tun? Die Systemsicherung Gatekeeper, die dieses Zertifikat überprüft, versagt hier.

Wardle: Das ist eine hervorragende Frage, die mich selbst stark beschäftigt. In der Vergangenheit habe ich ziemlich viel Zeit damit verbracht, Gatekeeper auseinander zu nehmen. Dabei stellte ich einige grundsätzliche Designfehler fest, durch die sich der Systemschutz trivial einfach umgehen ließ. Selbst mit aktivem Gatekeeper ließ sich nicht signierter Code ausführen – obwohl Gatekeeper ja genau dafür gedacht war. Die gute Nachricht ist, dass Apple mittlerweile Gatekeeper auf eine neue Architektur umgestellt hat, die deutlich stabiler ist.

Das Grundproblem, dass Angreifer einfach Malware mit einer validen Apple-Developer-ID signieren, bleibt aber bestehen. Die Default-Einstellung in Gatekeeper erlaubt es, solche Binaries ohne Nachfrage auszuführen. Entsprechend ist jede bessere neue Malware mittlerweile mit einem Zertifikat ausgestattet! Und da sich Gatekeeper so vollständig umgehen lässt, wird sich der Trend natürlich fortsetzen.

Mac & i: Was kann Apple dagegen tun?

Wardle: Zunächst scheint es zu einfach zu sein, an eine Apple-Developer-ID zu gelangen. Ich kenne den Prozess nicht besonders gut, mit dem Apple beantragende Personen durchleuchtet, doch er scheint trivial einfach missbrauch- oder umgehbar zu sein. Apple muss hier genauer draufschauen, wer eine Developer-ID beantragt.

Zweitens scheint es eine große Anzahl von Mac-Malware zu geben, insbesondere im Bereich von Adware, die unerwünschte Anzeigen einblendet. Sie werden zwar von Anti-Virus-Produkten erkannt, verfügen aber immer noch über eine nicht zurückgezogene Apple-Developer-ID. Das kann man bei dem Viren-Software-Überprüfer VirusTotal.com sehen. Ich muss einräumen, dass Apple auf meine Anfragen hin immer sehr schnell mit dem Zurückziehen solcher Zertifikate war. Daneben scheinen sie aber nicht sehr proaktiv vorzugehen!