Der Beitrag We Hacked Apple for 3 Months: Here’s What We Found ist mir diese Woche mehrfach begegnet. Er ist in meiner Twitter-Zeitleiste aufgetaucht. Und er wurde mir auch direkt zur Lektüre empfohlen – mit dem Vorschlag, man müsse doch einmal thematisieren, dass iOS und Mac OS in Tat und Wahrheit nicht so sicher seien wie in der öffentlichen Wahrnehmung.
Und ja, der Text enthält eine Passage, die aufhorchen lässt:
Während unseres Einsatzes fanden wir eine Vielzahl von Schwachstellen in Kernbereichen ihrer Infrastruktur, die es einem Angreifer ermöglicht hätten, sowohl Kunden- als auch Mitarbeiteranwendungen zu kompromittieren, einen Wurm in Umlauf zu bringen, der den iCloud-Account eines Opfers übernimmt, den Quellcode für interne Apple-Projekte abzurufen, eine von Apple verwendete Software für ein industrielles Steuerungslager vollständig zu kompromittieren und die Sitzungen von Apple-Mitarbeitern mit der Möglichkeit des Zugriffs auf Verwaltungswerkzeuge und sensible Ressourcen zu übernehmen.
Doch was man bei diesem Beitrag unbedingt wissen muss – und was aus dem Titel nicht hervorgeht –, ist Folgendes:
Die fünf «Hacker» haben sich im Rahmen eines Bug-Bounty-Programms mit Apple beschäftigt. Ein solches Programm ist dazu da, Fehler zu finden. Die Unternehmen und Organisationen setzen Belohnungen aus, damit White Hat Hacker (Sicherheitsexperten mit guten Absichten) Fehler aufspüren. Diese Lücken und Fehler können geschlossen werden, bevor Black Hat Hacker (Cyberkriminelle mit entsprechender Expertise) sie ausnutzen und missbrauchen können.
Und genau das war Apples Ziel: Man erfährt aus dem Text, dass Apple 100’000 US-Dollar ausgesetzt hat für den Fall, dass die Sicherheitsmechanismen umgangen werden können und das Konto eines beliebigen Apple-Kunden zugänglich ist. Und der Autor des Blogposts, Sam Curry, beschreibt auch, sie hätten 55 Schwachstellen entdeckt: Elf kritische, 29 schwere, 13 mittelschwere und zwei mit niedrigem Schweregrad.
Da stellt sich die Frage, ob es die 100’000 US-Dollar insgesamt oder pro Schwachstelle zu verdienen gab – oder zumindest für die elf kritischen Bugs? Und ja, darauf gibt es eine Antwort: Apple habe bislang 32 Zahlungen in Höhe von 288’500 US-Dollar für «verschiedene Schwachstellen» geleistet.
Der Beitrag ist auch sonst aufschlussreich: Apple habe eine riesige Infrastruktur, erklärt Curry. Man erfährt auch einiges über einige der verwendeten Angriffsmethoden – in die ich mich bislang aus Mangel an Zeit aber noch nicht vertieft habe.
Aber natürlich habe ich das Fazit gelesen: Apple habe positiv auf die Berichte reagiert, schreibt Curry. Und die kritischen Mängel seien sehr schnell behoben worden, teils innert vier Stunden.
Da niemand viel über Apples Bug-Bounty-Programm wusste, begaben wir uns mit einem so grossen Zeitaufwand auf unbekanntes Terrain. Apple hat eine interessante Geschichte in der Zusammenarbeit mit Sicherheitsforschern, aber es scheint, dass ihr Programm zur Offenlegung von Schwachstellen ein massiver Schritt in die richtige Richtung ist.
Wie eingangs erwähnt, hat dieser Beitrag bei manchen Leuten den Eindruck erweckt, Apple habe ein Sicherheitsproblem. Ein Kollege, der mich kontaktiert hat, formulierte es sogar recht hart: Man müsse nun thematisieren, dass «der Ruf des Mac als sicheres Betriebssystem unbegründet und eine mythischer Irrglaube» sei.
Um die Pointe vorwegzunehmen: Ich glaube nicht, dass dieser Schluss gerechtfertigt ist. Und zwar aus mehreren Gründen:
Erstens das Ziel. Der offensichtliche ist, dass es hier nicht ums Betriebssystem ging, sondern um Apples Firmennetzwerke.
Und ja, natürlich kann man darauf mehrere Dinge einwenden. Erstens, dass ein Angreifer, der das Firmennetzwerk unterwandern kann, auch die theoretische Möglichkeit hätte, Hintertüren in die Software einzuschleusen – und dass die Systeme deswegen nicht mehr sicher seien. Zweitens nutzen sehr viele Anwender der Apple-Betriebssysteme auch die iCloud. Und gemäss der Beschreibung ihres Angriffs hätte Sam Curry und seine Mitstreiter die dort gespeicherten Daten zugänglich machen können.
Zweitens die Umstände. Das «Apple-Hacking» hat wie erwähnt im Rahmen eines Bounty-Hunting-Program stattgefunden. Das ist dazu da, Sicherheitslücken zu finden. Und je mehr Probleme entdeckt werden, desto besser ist es, weil die geschlossen werden können und das System hinterher sicherer ist als vorher. Und wie Sam Curry beschreibt, hat Apple schnell reagiert und Lücken teils innert weniger Stunden dichtgemacht.
In diesem Video führt Sam Curry vor, wie ein Angriff auf die iCloud aussehen könnte.
Auch da gibt es natürlich einen Einwand: Wenn so viele Lücken vorhanden sind, wer sagt und dann, dass die nicht vorher ausgenutzt worden sind? Und ist es nicht sogar wahrscheinlich, dass das passiert ist? Es ist unbestreitbar, dass ein riesiges globales Interesse an Apple besteht, das sich auch auf die Cyberkriminellen erstrecken dürfte. Und wenn dieser Sam Curry und seine vier Mitstreiter in drei Monaten so viele Lücken finden – was kann ein Akteur erreichen, der nicht nur von finanziellen Interessen, sondern von den Möglichkeiten der Wirtschaftsspionage oder anderen Motiven getrieben wird?
Und ja, auch dieser Einwand ist berechtigt. Aber ohne Beweise bleibt er reine Spekulation. Wir wissen es nicht – aber eine bekannte Tatsache ist, dass in letzter Zeit kein Missbrauch von persönlichen, in der iCloud gespeicherten Daten gekommen ist. Ein Fall, bei dem das passiert ist, liegt sechs Jahre zurück. Man erinnert sich vielleicht noch: Damals sind Nacktbilder von Promis wie Scarlett Johansson, Jennifer Lawrence und Kate Upton angeblich durch einen Angriff auf iCloud im Netz aufgetaucht.
Drittens die Einordnung. Bevor man Apple als unsicher abstempelt, muss man die Befunde von Sam Curry einer Beurteilung unterziehen: Sind sie so gravierend, dass man Apple Fahrlässigkeit unterstellen muss – oder ganz im Gegenteil normal und bei jedem grossen Unternehmen in ähnlicher Form erwartbar?
Ich kann diese Beurteilung nicht abgeben, und ich bin mir sicher, dass man für beide Positionen Sicherheitsexperten finden würde. Meine Erfahrung mit dieser Spezies ist, dass sie schwer zu einer wirklich neutralen, objektiven Aussage zu bewegen sind. Denn die Interessenslage der Experten selbst ist kompliziert:
Einerseits wird Sam Curry einen Teufel tun und Apple in die Pfanne hauen – denn es liegt auf der Hand, dass solche Bounty-Hunting-Programme die Reputation eines Unternehmens verbessern sollen: «Seht her, unsere Sicherheit ist uns bares Geld wert!» Das funktioniert nur, wenn die erfolgreichen Bounty-Hunter hinterher gnädig mit den geprüften Unternehmen umspringen.
Andererseits leben viele Sicherheitsexperten davon, den Ist-Zustand in den düstersten Farben zu beschreiben. Schliesslich sollen die Unternehmen dazu bewogen werden, ihre Investitionen in die Sicherheit zu vergrössern. Und dieses Ziel erreicht man natürlich am besten durch Angstmacherei.
Fazit: Es bleibt uns Nutzer nichts anderes übrig, als die Unternehmen an den öffentlich bekannten Fakten zu messen. Und bei dieser Frage ist und bleibt es so, dass alle Systeme ihre Stärken und Schwächen haben und es immer auch vom der Art der Nutzung und vom Angriffsszenario abhängt, wie gut oder schlecht sich ein Produkt schlägt – das ist bei den Virenscannern genauso, bei denen ich mir die Vergleichstests zwar gerne ansehe, aber ihnen nicht allzu grosse Bedeutung beimesse.
Und diesbezüglich stelle ich Mac OS und iOS auch im Vergleich zu Windows und Android ein gutes Zeugnis aus. Darum ist dieser Blogpost eine interessante Lektüre – aber kein Grund, seine Entscheide in Sachen Betriebssysteme und Gerätenutzung grundlegend infrage zu stellen.
Beitragsbild: Der gute alte Hacker in einem Symbolbild – für einmal wenigstens ohne Hoodie und ohne Anonymous-Maske (Jefferson Santos, Unsplash-Lizenz).