"Gangster mit iPhone sind leichter zu erwischen"
Apples Smartphone gehört zu den leistungsfähigsten mobilen Geräten auf dem Markt. Das interessiert auch Kriminelle - und diejenigen, die sie jagen. Der IT-Sicherheitsexperte Jonathan Zdziarski hat jetzt das erste Buch über iPhone-Forensik geschrieben.
Jonathan Zdziarski gehört zu den bekanntesten Mitgliedern der internationalen iPhone-Hacker-Gemeinschaft, die dem Gerät zahlreiche neue Funktionen verpasste, bevor Apple Drittherstellern erstmals offiziell Zugriff auf die Plattform gewährte. Der Amerikaner arbeitet als Sicherheitsforscher bei einem IT-Security-Konzern und ist Autor mehrerer Bücher zum Thema.
Technology Review: Herr Zdziarski, in Ihrem neuen Buch "iPhone Forensics" [1] beschreiben Sie, wie Apples Smartphone forensisch ausgewertet werden kann. Welche Daten können Ermittlungsbehörden von dem Gerät ziehen?
Jonathan Zdziarski: Das iPhone enthält viele der üblichen Daten, wie man sie auf einem mobilen Gerät erwarten würde – SMS-Botschaften, Kontakte, E-Mails und so weiter. Hinzu kommt allerdings, dass das Handy auch ungewöhnlichere Informationen speichert. Dazu gehört ein Zwischenspeicher (Cache), der Sätze, Passwörter und Formulardaten enthält, die man in den Browser oder andere Anwendungen eingetippt hat, Bildschirmfotos der letzten paar Dutzend Zustände jeder Anwendung, wenn man den "Home"-Knopf drückt, GPS-Informationen, aufgerufene Google Maps-Karten, Suchanfragen und einiges mehr.
Hinzu kommt: Neben der Speicherung all dieser Daten verhält sich das iPhone in vielen Bereichen eher wie ein Computer als wie ein Handy – mit einem vollständigen Dateisystem nach dem von Apple-Rechnern bekannten Standard HFS. Das heißt, dass man im Gegensatz zu anderen mobilen Geräten auch viele Wochen oder sogar Monate lang gelöschte Fotos, alte Browser-Historys plus diverse andere eigentlich vom Nutzer verworfene Informationen zurückholen kann. Die meisten Nutzer denken, dass ihre Daten weg sind, wenn sie einmal gelöscht wurden. Das ist nicht der Fall, wie ich in meinem Buch zeige.
TR: Waren Sie bei der Analyse der Fähigkeiten des Gerätes überrascht, was beim iPhone alles gespeichert bleibt?
Zdziarski: Ich wusste, dass das Gerät viele persönliche Daten enthält, doch der Umfang, mit dem einige davon abgelegt werden, hat mich schon erstaunt. Beispielsweise hätten wir da das erwähnte Bildschirmschnappschuss-Feature, wenn man den Home-Knopf drückt. Das macht das Gerät nur deshalb, damit dieser hübsche Zoom-Effekt möglich wird, den die Leute so gerne beim Aufruf des Hauptmenüs sehen. Das Problem ist, dass diese Screenshots auf den Flashspeicher des iPhone geschrieben werden, anstatt nur im RAM zu landen. Man findet also Dutzende und manchmal sogar Hunderte dieser Bilder all der "letzten Dinge, die ich mir angeschaut habe". Man kann sich leicht vorstellen, dass das eine Menge an Informationen darüber liefert, wo hin man gerade gereist ist, was man sich im Web angesehen hat, was im E-Mail-Postfach lag und so weiter.
TR: Warum ist das so?
Zdziarski: Es gibt eigentlich keinen Grund dafür, dass Screenshots derart abgelegt werden. Es war für die Entwickler meiner Meinung nach nur einfacherer, sie waren faul. Im Endeffekt ist der Kunde derjenige, der so an der potenziellen Dezimierung seiner Privatsphäre leidet. Auf der anderen Seite liefert das aber auch eine lange und ständig fortlaufende Kette an Beweisen, die von Strafverfolgern verwendet werden können, die eine Anklage gegen einen iPhone-Benutzer vorbereiten wollen.
Einer der Bereiche, für den sich die Behörden oft interessieren, ist der Eingabezwischenspeicher. Das iPhone lernt, was man regelmäßig eintippt, um dann mit seiner Autokorrektur einspringen zu können, wenn man sich vertippt. Unglücklicherweise nahmen die iPhone-Entwickler auch hier wieder den einfachen Weg und entschieden sich, alles in der Reihenfolge zu speichern, in der es eingegeben wurde, statt beispielsweise nur einen Hash-Wert zu generieren und das Format zu ändern. Daraus ergibt sich dann eine vollständige Sammlung aller auf dem Gerät eingegebener Begriffe über alle Anwendungen hinweg. Die schwere Sicherheitslücke liegt darin, dass auch Passwörter mitgespeichert werden.
Noch überraschender ist allerdings, wie lange diese Daten vorgehalten werden. Das iPhone ist hier schlimmer als ein Desktop-Rechner, weil es so eingerichtet ist, dass es nur selten etwas an die gleiche Stelle mehrfach schreibt, um den verwendeten Flashspeicher zu schonen. Auf einem PC werden Daten öfter überschrieben, weil man auch einmal große Dateien kopiert wie Musik oder Bilder. Intensive Schreibaktivitäten erfolgen beim iPhone aber normalerweise nur dann, wenn der Nutzer sein Gerät gerade bekommen hat. Danach ist alles recht statisch. Das erlaubt viel Platz für kleinere Dateien, die in entlegenen Bereichen des Flashspeichers verbleiben und das so lange, bis sie endlich überschrieben werden.
Apple scheint sich nicht bewusst gewesen zu sein, wie viele gelöschte Daten dort verbleiben. Die Firma zog Anfang des Jahres zahlreiche überholte Gebrauchtgeräte vom Markt zurück, als bekannt wurde, dass ein Polizist, dem ich selbst schon bei der iPhone-Forensik geholfen hatte, auf einem Testgerät alle persönlichen Daten des Vorbesitzers fand. Dazu gehörten Bankinformationen, Internet-Einkäufe und Screenshots der Damen, mit denen er auf Facebook flirtete. Ich kontaktierte den Mann, der an der Boston University studierte. Er bestätigte mir, er habe das Gerät einige Monate vorher zwecks Garantietausch an Apple zurückgegeben. Die Firma hatte offenbar ungerechtfertigterweise angenommen, dass ein Zurücksetzen des Handys auch die Daten löscht. Dabei ist das nur eine Schnellformatierung. Es dauerte dann nicht lange, bis Apple endlich eine "Secure Wipe"-Funktion einführte. Die funktioniert zwar, lässt sich aber immerhin unterbrechen.
"Gangster mit iPhone sind leichter zu erwischen"
TR: Ist das iPhone im Vergleich zu anderen Smartphones damit "interessanter" für Behörden?
Zdziarski: Das Handy hat mehr Funktionen als alle anderen Smartphones bislang. Man kann es problemlos als mobiles Büro benutzen. Der Besitzer des Geräts prüft nicht nur seine E-Mails, sondern plant auch Routen, nutzt den eingebauten GPS-Empfänger mit Google Maps, schaut sich richtige Websites an (statt nur für Mobiltelefone aufbereitete Mini-WAP-Seiten), verbindet sich mit öffentlichen WLAN-Hotspots und tut noch jede Menge anderer Dinge, die man früher mit einem mobilen Gerät nie hätte anstellen können. All das hinterlässt Spuren, die genutzt werden können, um zu zeigen, wo jemand war, welche Websites er besucht hat, welche WLAN-Netzwerke er verwendet. So ergibt sich ein Gesamtbild darüber, was der Nutzer alles anstellt.
Im Gegensatz zu den meisten anderen mobilen Geräten speichert Apples "Visual Voicemail"-Funktion sogar auch noch Mailbox-Anrufe lokal auf dem Gerät, sie werden nicht mehr direkt über das Telefonnetz abgefragt. Selbst bevor man diese Botschaften nicht abhört, werden sie heruntergeladen.
TR: Muss Apple so viel speichern?
Zdziarski: Einige dieser Informationen gehören natürlich auch auf das Gerät. Es sind aber so viele Daten vorhanden, dass jemand, der legal oder auch illegal Zugriff auf das Gerät hat (sei es nun ein Strafverfolger oder ein Identitätsdieb), ein erstaunlich klares Bild des iPhone-Besitzers erhält.
Für die Polizei oder den Werkschutz eines Unternehmens im Fall von Betriebsspionage ist das hilfreich. Man kann beispielsweise beweisen, wenn ein Stalker das iPhone verwendet hat, um das Haus seines Opfers aufzufinden oder sich mit dessen WLAN verbunden hat. Viele Drogendealer nehmen Schnappschüsse ihrer Drogenverstecke auf, ohne dass sie wissen, dass sie sich selbst nach dem Löschen auf dem iPhone leicht wiederherstellen lassen. All diese Informationen helfen dabei, Beweise zu sammeln – und zwar auch gegen sehr schlaue Kriminelle. Und von Unternehmensseite her ist es einfach, Informationsdiebstahl nachzuweisen oder ob ein Mitarbeiter mit der Konkurrenz plaudert.
Gleichzeitig haben wir es aber auch mit einem Privatsphärenproblem für die verbleibenden 99,9 Prozent der Bevölkerung zu tun, die sich an die Gesetze halten.
TR: Was ist dabei der wichtigste Unterschied zwischen dem iPhone und älteren Handys?
Zdziarski: Der größte liegt wohl darin, dass das iPhone ein vollständiges Unix-Betriebssystem enthält und sich damit sehr ähnlich wie ein Mac-Desktop anfühlt. Aus diesem Grund bleiben Beweismittel auch viel leichter enthalten. Im Gegensatz zu einem Desktop-Rechner gibt es jedoch keine echte Verschlüsselung. Das bedeutet, dass all diese Informationen demjenigen offenstehen, der weiß, wo er suchen muss.
TR: Das heißt: Als Krimineller sollte man besser zu einem anderen Gerät greifen?
Zdziarski: Als ich mit der Arbeit an "iPhone Forensics" anfing, war es noch als Handbuch für Strafverfolgungsbehörden gedacht. Sechs Monate lang war es auch nur für diesen Personenkreis zugänglich. Damals dachte ich noch, dass echte Kriminelle lieber Wegwerf-Handys mit Prepaid-Karten nutzen. Mich hat überrascht, dass viele Kriminelle, die man durchaus als ernsthaft bezeichnen würde, also Sexualverbrecher, Mörder und so weiter, auch vom iPhone-Virus befallen sind. In einem Fall wurde sogar ein zuvor unbekannter Terrorist mit Hilfe von Beweisen auf seinem iPhone enttarnt.
Eines der Dinge, die die meisten Kriminellen mit ihrem iPhone tun, ist die Aktivierung eines Zahlencodes. Die wenigsten wissen allerdings, dass der sich in jeder Version des Handys umgehen lässt, sogar bei der aktuellen Variante iPhone 3G. Der Prozess dauert nicht länger als 60 Sekunden. Ist der Code einmal ausgehebelt, hat man Zugang zu allen privaten Daten, als ob der Schutz niemals aktiviert worden wäre. Dementsprechend: Ich hoffe, dass Kriminelle das iPhone noch lange verwenden, weil es damit leichter wird, sie zu erwischen.
TR: Die andere Seite der Medaille ist, dass unbescholtene Bürger dadurch ihre Privatsphäre bedroht sehen könnten.
Zdziarski: Privatsphäre bedeutet nicht für jeden das selbe. Das iPhone hat diverse Privatsphären-Probleme, die einige Leute nervös machen könnten und ich würde es aus diesen Gründen auch nicht unbedingt für den Gebrauch in Sicherheitsbereichen von Regierung oder Unternehmen empfehlen. Die Leute wissen nicht, wie viele privaten Daten durch das iPhone fließen, obwohl sie sie dort gar nicht vermuten. Prüft man beispielsweise seine Mail automatisch mit dem Handy, werden Monate voller Nachrichten auf dem Gerät verfügbar gemacht, selbst wenn man sie eigentlich auf seinem Desktop-Rechner liest. Diese Daten landen trotzdem auf dem Handy und sind auch noch lesbar, nachdem sie gelöscht wurden.
Andererseits sind viele dieser Probleme nur dann akut, wenn jemand physischen Zugriff auf das iPhone hat. Jemand, dem seine Privatsphäre lieb ist, würde ich deshalb empfehlen, dass er mit dem Gerät selbst vorsichtig umgeht. Wenn man versteht, dass Dinge wie der Zahlencode leicht umgangen werden können, hilft das dem durchschnittlichen Konsumenten schon viel.
Wer eher langweilig ist und deshalb auf seinem iPhone wenig Interessantes vorhält, der braucht sich keine Sorgen zu machen. Wer sich aber beispielsweise per E-Mail die Türöffnungs-PIN der Bank zuschicken lässt, bei der er arbeitet, sollte vorsichtig sein, weil ihm dann vielleicht jemand das Gerät abnimmt. (bsc [2])
URL dieses Artikels:
https://www.heise.de/-275684
Links in diesem Artikel:
[1] http://oreilly.com/catalog/9780596153588/
[2] mailto:bsc@heise.de
Copyright © 2008 Heise Medien