Da war ich bloss einmal kurz in den Sommerferien und bei dieser Gelegenheit Computernews-abstinent – und habe doch gleich zwei gröbere Skandale verpasst.
Der Pegasus-Skandal
Pegasus ist eine Spyware des israelischen Anbieters NSO Group, die Android-Telefone genauso wie das iPhone öffnet und dem Angreifer nicht nur Zugang zu allen Daten eröffnet, sondern das Gerät auch in eine Wanze verwandelt. Die Software wurde bereits 2016 entdeckt, doch Mitte Juli hat eine Recherche aufgedeckt, wie breit diese Software eingesetzt wird. Demnach sind es eben nicht nur lupenreine Demokratien, die die Software zur Aufklärung von Verbrechen nutzen, sondern auch Staaten, in denen die Meinungsfreiheit und die politische Opposition einen schwierigen Stand haben. «France Info» berichtet:
In Mexiko, Indien, Marokko, Saudi-Arabien, den Vereinigten Arabischen Emiraten, Kasachstan, Aserbaidschan, Togo, Ruanda und sogar in Ungarn, einem EU-Mitglied, nehmen staatliche Stellen sowohl ihre eigenen Bürger als auch Personen des öffentlichen Lebens ausserhalb ihres Landes ins Visier. Dazu zählen Juristen, Journalisten, Diplomaten, Ärzte, Sportler, Gewerkschafter, Aktivisten oder Politiker, einschliesslich Minister, sowie 13 Staats- oder Regierungschefs.
Sogar Frankreichs Staatspräsident Emmanuel Macron soll abgehört worden sein. Gemäss der NZZ kommt Pegasus auch in der Schweiz zum Einsatz:
Damit erscheint es wahrscheinlich, dass der NDB seit Herbst 2017 Pegasus in der Schweiz einsetzt. Wobei die technische Anwendung der Software vermutlich bei der Führungs- und Unterstützungsbasis (FUB) der Armee liegt, die im Auftrag des NDB solche Operationen durchführt. (…) Daneben gibt es Hinweise, dass auch die Strafverfolgungsbehörden von Bund und Kantonen auf die Spionage-Software (…) Group setzen.
Das hat Proteste bei Journalisten ausgelöst. Reporter ohne Grenzen hat gegen die Überwachung protestiert, weil 17 Journalisten befürchten müssen, von ihren Regierungen ausgehorcht worden zu sein.
Was dieser Skandal mittelfristig bedeuten könnte, hat die BBC im Podcast «The Inquiry» in der Folge Are our phones spying on us? aufgearbeitet.
Wer herausfinden möchte, ob Pegasus auf seinem iPhone vorhanden ist, kann das mit der (hier vorgestellten) iMazing-Software tun. Nach der Erstellung der Datensicherung gibt es bei der Auswahl des iPhones den Befehl Detect Spyware.
Apple will auf iPhones nach Kinderpornografie scannen
Anfangs August hat Apple bekannt gegeben, dass in iOS 15 und iPadOS 15 eine Funktion eingebaut wird, die in der Foto-Mediathek nach kinderpornografischen Bildern sucht. Man spricht auch nach von einem CSAM-Scanner, wobei das Kürzel für Child Sexual Abuse Material steht.
So einleuchtend und sinnvoll der Kampf gegen derartige Bilder ist, so gross war die Ablehnung dieser Funktion. Edward Snowden, dem man in solchen Fragen unbedingt Gehör schenken sollte, kommentierte auf Twitter: «Auch wenn es noch so gut gemeint ist, führt Apple weltweit ein Mittel zur Massenüberwachung ein. Lassen Sie sich nicht täuschen: Wenn sie heute nach Kinderpornos suchen können, können sie morgen nach allem suchen.»
No matter how well-intentioned, @Apple is rolling out mass surveillance to the entire world with this. Make no mistake: if they can scan for kiddie porn today, they can scan for anything tomorrow.
They turned a trillion dollars of devices into iNarcs—*without asking.* https://t.co/wIMWijIjJk
— Edward Snowden (@Snowden) August 6, 2021
Snowden spricht die beiden zentralen Kritikpunkte an: Erstens die Angst, die Technologie könnte auch zur Erkennung anderer Inhalte verwendet werden. Und zweitens der Umstand, dass die Technologie durch ein Update auf alle iPhones gebracht wird. Nutzer haben faktisch keine Möglichkeit, ihr aus dem Weg zu gehen. Solche CSAM-Scans werden von den Cloudanbietern routinemässig angewandt, doch die kann man meiden, wenn man möchte. Aber dabei handelt es sich um eine fremde Infrastruktur, die man meiden kann – und nicht um das eigene Gerät.
Jürgen Schmidt kommentiert das bei Heise folgendermassen:
Dass uns unsere eigenen Smartphones, Autos oder Fernseher routinemässig und ohne Anlass überwachen, um dem Hersteller Verstösse gegen Gesetze zu melden, findet faktisch nicht statt. Es ist sogar mit einem Tabu belegt – aus gutem Grund.
Apple führt jedoch jetzt eine technische Lösung ein, mit der genau das möglich wird. Die geplanten Kinderschutzfunktionen überwachen Bilder auf dem Gerät und melden illegales Material erst bei Apple und schlussendlich den Behörden. Damit ist der Damm gebrochen, das Tabu aufgehoben. Alles Weitere ist nur noch ein langsames, graduelles Anziehen der Überwachungsschrauben.
Um es nochmals klar zu sagen: Es geht darum, dass Besitzer von Kinderpornografie geschützt werden soll, aber darum, dass standardmässig auf den privaten Geräten operierende Überwachungsfunktionen eine Grenzüberschreitung sind. Auch Ermittlungsbehörden dürfen nicht präventiv in privaten Wohnungen nach Drogen, Schmugglergut oder geschützten Tierspezies suchen.
Darum konnte es gar nicht anders sein, dass diese Neuerung einen riesigen Aufschrei auslöst – sodass man sich fragt, wie es passieren konnte, dass Apple das nicht vorhergesehen hat. Auch intern bei Apple hielten viele den CSAM-Scan nicht für eine gute Idee, wie Reuters dokumentiert hat – trotzdem wurde der Konzern offenbar von den Protesten überrascht. Apple-Software-Entwicklungschef Craig Federighi hat versucht, in einem Interview die Wogen zu glätten. Er hat unter anderem folgende Ergänzung angebracht: Demnach greift die CSAM-Technologie nur bei Fotos, die in iCloud hochgeladen werden sollen. Sie ist deaktiviert, wenn iCloud Fotos nicht verwendet wird. Zitat Federighi:
Wir hätten uns gewünscht, dass unsere Absichten etwas klarer rübergekommen wären. Wir sind vollkommen überzeugt von dem, was wir tun, und mussten erkennen, dass wir weiterherum missverstanden wurden.
Was mich angeht, bin ich allerdings noch verwirrter als vorher. Was bringt das Scannen auf dem Gerät, wenn es nur für Bilder gilt, die in die iCloud hochgeladen werden und dementsprechend auch auf dem Server gescannt werden könnten?
Zwei abschliessende Links zum Thema: «The Verge» hält ein ausführliches FAQ bereit, in dem auch Leute zu Wort kommen, die Apples Initiative für gut und richtig halten, nämlich die Kryptografen und Computerwissenschaftler Mihir Bellare, David Forsyth und Dan Boneh:
«Dieses System wird die Wahrscheinlichkeit erheblich erhöhen, dass Personen, die [CSAM] besitzen oder damit handeln, gefunden werden», so Forsyth in einer von Apple zur Verfügung gestellten Empfehlung. «Nutzer, die sich nichts zu schulden haben kommen lassen, sollten nur einen minimalen bis gar keinen Verlust der Privatsphäre erfahren.»
Auf appleprivacyletter.com ist ein, unter anderem von der Digitalen Gesellschaft aus der Schweiz mitgetragener offener Brief zu finden, der gegen die Neuerungen protestiert, auch gegen die Funktion in iMessages, die vor sexuell expliziten Bildern warnt. Wer mag, kann diesen Brief selbst unterzeichnen.
Beitragsbild: Tatsächlich? (Marija Zaric, Unsplash-Lizenz)