Analyse: Was bedeutet der iPhone-Massen-Hack?
Tausende iPhones wurden beim Besuch scheinbar harmloser Websites gehackt. Wer steckt dahinter und wie schütze ich mich?
Googles Project Zero dokumentiert eine massenhafte Infektion von iPhones mit Spionage-Software. Dieser Vorfall stellt einige Dinge in Frage, die bisher als gesetzt galten und wirft viele Fragen auf. Nicht zuletzt die, wie man sich vor so etwas schützen kann.
Bisher dachte man, "Normalsterbliche" müssen sich vor iOS-Zero-Days und der theoretischen Möglichkeit, dass man sich allein beim Besuch einer scheinbar harmlosen Webseite Schadsoftware einfängt, nicht wirklich Sorgen machen. Die Exploits dazu sind viel zu teuer, um sie an Hinz und Kunz zu verteilen und dabei zu riskieren, dass sie dabei entdeckt und damit unbrauchbar werden. Immerhin kosten solche Exploits, wie sie zur Masseninfektion von iPhones genutzt wurden, mehrere Millionen US-Dollar auf dem Schwarzmarkt und sind eine sehr gesuchte, rare Mangelware.
Genau das hat Googles Fund widerlegt. Das ist nicht irgendein Malware-Fund, sondern ein sehr spezielles Ereignis, das das Verständnis von Bedrohungen im Internet verändert (also zumindest, wenn man nicht zu den Aluhut-Trägern gehört, die sowieso immer alle Arten von Angriffen für möglich und sogar wahrscheinlich halten). Es lohnt sich also, etwas genauer zu betrachten, was da passiert ist und was man eigentlich tatsächlich weiß:
• Der Angriff hätte jeden (iPhone-Nutzer) treffen können, der eine der speziell präparierten Webseiten besucht hat. Diese waren allgemein zugänglich und hatten nennenswerten Traffic. Google-Mitarbeiter konnten dort problemlos ihre Testgeräte infizieren lassen.
• Die Angriffe gingen gezielt gegen iPhones. Warum? Die Angriffe sorgten für einiges Aufsehen, weil sie anders als Windows- oder Android-Trojaner recht ungewöhnlich waren. Angesichts der anzunehmenden Potenz des Angreifers kann man vermuten, dass er die anderen Ziele bereits auf anderen Wegen (erfolgreich?) angegriffen hat. Es tauchen auch bereits erste Berichte über Angriffe auf Android und Windows auf, die den gleichen Tätern zugerechnet werden.
• Wer steckt dahinter? Angesichts der Ressourcen war es sicher keine der typischerweise sehr profitorientierten Cybercrime-Gangs. Das war eine Gruppe, bei der Geld keine Rolle spielt, um ihren Auftrag zu erfüllen. Darüber hinaus ging die Überwachung in die Breite – man war also durchaus auch an Beifang interessiert. Das klingt sehr nach einer Geheimdienstaktion in staatlichem Auftrag zur Überwachung einer Bevölkerungsgruppe. Leider nennt Google die betroffenen Websites nicht. Da es sich um eine Waterhole-Attacke handelte, hätte die Art des Wasserlochs Aufschluss über die dort anzutreffenden Opfer geben können. Die soeben auftauchenden, noch ungesicherten Berichte, die den Vorfall der Überwachung der Uighuren durch den chinesischen Staat zuordnen, passen jedenfalls in dieses Schema.
Schutzmaßnahmen
Doch wie kann man sich vor solchen Angriffen schützen? Die Angreifer hatten offenbar immer Exploits für verschiedene iOS-Versionen bereit und konnten die auch quasi beliebig ersetzen, wenn mal einer nicht mehr funktionierte, weil die zugrundeliegende Lücke gepatcht wurde. Also bleibt sehr wenig was man tun kann:
• Die von Google dokumentierten Angriffswerkzeuge sind verbrannt. Die eingesetzten Sicherheitslücken sind in der aktuellen iOS-Version geschlossen. Es gibt jedoch wenig Anlass zur Hoffnung, dass die Täter keinen Ersatz haben oder zumindest beschaffen können.
• Die eingesetzten Exploits waren nicht permanent. Ein Reboot beseitigte die Infektion und brachte das iPhone wieder in einen sauberen Zustand. Die abgeflossenen Daten, inklusive diverser Passwörter und Zugangs-Token sind aber weg und können weiter missbraucht werden. Beim nächsten Besuch der Website wird man vermutlich wieder infiziert.
• Die Angriffe gingen nur gegen den Default-Browser (Safari). Wer eine Alternative wie Firefox oder Brave benutzte, kam ungeschoren davon (obwohl er wegen des obligatorischen iOS-Webkit trotzdem anfällig war). Man muss allerdings aufpassen, weil das Antippen von Links in vielen Fällen automatisch Safari startet. Stattdessen müsste man Copy&Paste verwenden – was sehr unpraktisch ist.
• Neue iPhones mit A12/A12X-CPUs (also iPhone XS, XR usw.) waren nicht betroffen. Darauf sollte man sich aber in Zukunft lieber nicht verlassen.
Das alles ist äußerst unbefriedigend. Aber es ist auf ein sehr grundsätzliches Problem zurückzuführen: Wenn Staaten die Privatsphäre von Menschen nicht respektieren und unter Missachtung von grundsätzlichen Menschenrechten versuchen, Zugriff auf die intimsten Bereiche ihrer Untertanen zu erlangen, kann man sie mit technischen Mitteln allein kaum daran hindern. Das zu verhindern erfordert eine starke politische, gesellschaftliche Initiative, die dem Überwachungsstaat Grenzen setzt.
Und bevor jetzt jemand erleichtert aufatmet, weil China weit weg ist: Das BKA und LKAs experimentieren bereits mit Staatstrojanern, die ähnliche Fähigkeiten wie die gerade aufgetauchten "Implants" aufweisen. Sie fordern auch permanent mehr Zugriffsmöglichkeiten. Am Sonntag hat nicht viel dazu gefehlt, dass die AfD stärkste Partei in einem Bundesland geworden wäre. Extreme Rechte führen bereits "Feindeslisten" und exekutieren missliebige Politiker. Wir sind gut beraten, die Diskussion über Grenzen der Überwachung jetzt und hier zu führen. (ju)
