iOS-Spezialist vermutet Hintertüren für Schnüffler
Ein bekannter Sicherheitsforscher beschuldigt Apple, in seinen iOS-Geräten gezielt eine Hintertür für die NSA und andere Berufsschnüffler eingebaut zu haben. Auf einer Hacker-Konferenz in New York präsentierte Jonathan Zdziarski entsprechende Hinweise. Apple weist die Vorwürfe zurück und betont, es handele sich nur um Diagnosefunktionen für den Support.
Die britische Schauspielerin und und Oscar-Preisträgerin Tilda Swinton (l) und die Journalistin Ronja Brier auf der Berliner Fashion Week mit iPad: Apple steht im Verdacht, in sein Betriebssystem iOS Hintertüren für die Geheimdienste eingebaut zu haben, die das Abschöpfen persönlicher Daten erlauben sollen.
Foto: dpa/Jens Kalaene
Apple hat seine iPhones und iPads akribisch gegen Angriffe von Kriminellen gesichert – das gibt Sicherheitsforscher Jonathan Zdziarski gerne zu. Genauso akribisch wirft der iOS-Spezialist Apple vor, das Unternehmen habe für Strafverfolgungsbehörden Hintertüren für den Zugriff auf die Geräte eingerichtet. Das berichten mehrere IT-Portale wie ZDNet und Golem. Basis ist ein Vortrag, den Zdziarski vor wenigen Tagen auf der Konferenz „Hackers on Planet Earth“, kurz HOPE, in New York gehalten hat.
Er habe in diesem Zusammenhang mehrere „undokumentierte, hochwertige forensische Dienste“ demonstriert, die auf jedem iPhone oder iPad liefen und über die es neben Apple theoretisch auch Regierungsbehörden möglich sei, unbemerkt Nutzerdaten zu sammeln, heißt es.
Unter Umständen können persönliche Daten ausgelesen werden
Im Klartext bedeutet das: Sobald ein Apple-Smartphone oder ein anderes Endgerät mit iOS-Software mit einem anderen Computer lokal gepairt, also gekoppelt ist, können unter bestimmten Umständen persönliche Daten aus dem Gerät herausgelesen werden. Ein Zugriff sei über USB und WLAN, vielleicht sogar über Mobilfunk möglich, legt Zdziarski dar.
Und das unter Umständen alles ohne Wissen oder gar ausdrückliche Zustimmung des Nutzers: Bis zur vorletzten Version des Betriebssystems fragte das Endgerät auch gar nicht groß nach Zustimmung. Eine Nachfrage, ob das Pairing gestattet wird, kommt erst seit der neuesten Version iOS 7, so das IT-Portal Heise.
Verwendet werden bei dem Zugriff Funktionen, die Apple zur Wartung der Geräte dienen. Diese Daten seien aber definitiv nicht allesamt notwendig für eine mögliche Fehlerbehebung, unterstrich Zdziarski. So seien Informationen zu Benutzeraccounts, letzte Tastatureingaben, Fotos, Adressdaten und GPS-Logs abrufbar – seit der neuesten Version sogar Daten, die Aufschluss über sämtliche auf dem Smartphone abgelegten Dateien geben.
Darüber hinaus könne auf diesem Weg ein von Haus aus integriertes Schnüffelprogramm aktiviert werden, das unbemerkt sämtliche Daten mitschneide. Selbst die in Version iOS 7 enthaltene Verschlüsselung könne von kommerziellen Forensik-Programmen mithilfe der oben beschriebenen Dienste umgangen werden, so lange das Gerät nicht wirklich komplett ausgeschaltet ist. Erzeugt würden teilweise Daten, die für den gemeinen Support-Mitarbeiter weder von Interesse, noch überhaupt verwendbar seien.
Lange keine Antwort auf die Vorwürfe
Aber für wen dann? Für Zdziarski sehen die undokumentierten Dienste verdächtig nach einer Hintertür für Geheimdienste oder andere von Berufs wegen neugierige Behörden aus. Außerdem kritisiert er, dass die Daten nicht durch ein Passwort gesichert werden könnten, sondern nur durch einen Schlüssel, der auf der Hardware basiert – der Nutzer habe also keinen Einfluss darauf. Außerdem gebe es keine Möglichkeit, sich eine Liste der mit dem Endgerät verbundenen Rechner anzeigen zu lassen. Er habe, betont der Sicherheitsforscher, Apple bereits mehrfach um eine Stellungnahme zu diesen Entdeckungen gebeten, diese aber lange Zeit nicht bekommen.
Apple-Angestellte im Berliner Apple Store am Kurfürstendamm: Apple hat dementiert, dass Geheimdienste wie die NSA durch Lücken im Betriebssystem Daten aus Apple-Geräten abschöpfen können.
Quelle: dpa/Kay Nietfeld
Inzwischen hat der Konzern jedoch reagiert – nachdem die Vorwürfe in die Öffentlichkeit gelangten, blieb ihm wenig anderes übrig. Zunächst war eine E-Mail an die Financial Times bekannt geworden, in der das Unternehmen die Vorwürfe von sich wies. Jetzt gibt es zudem eine ausführliche Stellungnahme, die der Journalist Tim Bradshaw von der New York Times per Twitter veröffentlichte.
Daten würden nie ohne die Zustimmung des Nutzers übertragen, heißt es darin. Zudem müsse man vorher sein Gerät entsperrt und dem anfragenden Rechner sein Vertrauen ausgesprochen haben, bevor etwas bereitgestellt werde. Außerdem betont Apple in der Stellungnahme, man habe „nie mit irgendeiner Regierung irgendeines Landes zusammengearbeitet, um eine Hintertür in irgendeinem Produkt oder Dienst zu schaffen“.
Sicherheitsforscher glaubt an Vorsatz
Zufrieden ist Zdziarski mit der Erklärung nicht. In einem Blogbeitrag schreibt er, er habe auch nicht behauptet, dass Apple mit der NSA zusammenarbeite – wohl aber, dass die Sicherheitslücken nicht zufällig bestünden und dass der Verdacht bestehe, dass die NSA sie bereits genutzt habe. Er glaube nicht an eine Verschwörung, wohl aber an Vorsatz – die Daten, die gesammelt werden könnten, seien zu persönlich für ein reines Supporttool.
Die Mechanismen agierten für ein Versehen viel zu verdeckt. „Ich kann keine Sekunde lang glauben, dass diese Dienste nur für Diagnose bestimmt sind“, schreibt er. Mit diesem Verdacht ist er nicht allein: Bereits Anfang des Jahres hätte der Aktivist und Sicherheitsforscher Jacob Appelbaum behauptet, die NSA könne mit einem Spähprogramm auf jedes iPhone zugreifen, heißt es in einem Bericht bei n-tv.
iPhone- und iPad-Nutzern, die ihre Daten lieber für sich behalten, schlägt Jonathan Zdziarski vor, den Geräten das Pairing mit anderen Computern zu verbieten, berichtet Heise. Zumindest Mac-User könnten das mit einem Apple-Tool namens MDM-Konfigurationswerkzeug erreichen. Für Windows-User gebe es derzeit keine vergleichbare Alternative.
Ein Beitrag von:
