Gab es erst vor Kurzem ein Sicherheitsupdate auf iOS 15.6.1, bekommen iPhone-Nutzer:innen jetzt wieder eine Aktualisierung an die Hand. Neben erneuten Sicherheitsverbesserungen enthält das Update auch Kompatibilitätsanpassungen für die neuen Produkte Apples. Denn das Unternehmen ermöglicht Besitzer:innen neuerer Geräte auch das Update auf iOS 15.7 und zwingt sie nicht sofort zum Umstieg.

iOS und iPadOS 15.7 installieren

Wie üblich findet Ihr die Möglichkeit zur Aktualisierung in der Einstellungen-App unter dem Punkt „Allgemein“ und dort dann bei „Softwareupdate“.

Unterhalb des Informationsschnipsels zum Update auf iOS 15.7 gibt es für iPhone-Nutzer:innen mit neueren Geräten auch den Hinweis auf iOS 16.

Bei iPad-Nutzer:innen gestaltet es sich etwas anderes. Denn heute gibt es bereits iPadOS 15.7. Doch auf iPadOS 16 müssen wir alle noch ein wenig warten, und zwar bis in den Oktober hinein.

Apple weist Nutzer:innen darauf hin, dass in den Vorversionen ein Kernel-Exploit aktiv ausgenutzt wurde, um die Geräte zu kompromittieren. Es empfiehlt entsprechend das Update.

Der Beitrag iOS 15.7 und iPadOS 15.7 von Apple veröffentlicht erschien zuerst auf Macnotes.de.

Vor knapp einer Woche veröffentlichte Apple noch den Release Candidate (RC). Nun gibt es das finale Update für alle Verbraucher:innen. Insgesamt war der Betatest relativ kurz.

Apple behebt hauptsächlich Fehler

Große Änderungen stellten Entwickler deshalb auch während der Probierphase nicht fest. Die Release Notes geben auch keine Auskunft über Anpassungen und der Hinweistext auf dem iPhone oder iPad lautet lediglich „enthält Fehlerbehebungen und Sicherheitsupdates“.

Die Formulierungen bei Fehlern mit der VPN-ähnlichen Funktion „iCloud Private Relay“ wurden angepasst.

Sicherheitsproblem in Safari behoben

Dies ist allerdings eher nebensächlich. Außerdem behob das Unternehmen ein Datenschutz-Problem bei Safari. Es gab einen Exploit, der eine Sicherheitslücke im Browser Safari ausnutzen konnte, um an „persönliche“ Daten im weitesten Sinne zu geraten.

Konkret blieben die Bezeichnungen von IndexedDB-Instanzen nicht, wie es eigentlich sein soll, vor den Blicken anderer geschützt. So hätten Anbieter, die auf die Javascript-API setzen, die Namen anderer Datenbank-Instanzen auslesen können. Die enthalten mitunter Hinweise auf Nutzernamen im Bezeichner. Die Entdecker sprachen von „SafariLeaks“.

Problem mit HomeKit-Kameras beseitigt

Mittlerweile (27. Januar) wurde auch bekannt, dass iOS 15.3 und iPadOS 15.3 ein Problem bei der Anzeige von Vorschaubildern von HomeKit-Kameras behebt. Nutzer:innen hatten beklagt, dass die Erneuerung der Vorschaubilder in der Home-App teils fehlschlug und teilweise veraltete Thumbnails zeigte.

Weitere Updates

Dazu stellt Apple am Abend Nutzer:innen auch tvOS 15.3, watchOS 8.4 und macOS 12.2 zum Download und zur Installation bereit. Gerade macOS nimmt sich für Mac-Nutzer:innen ebenfalls dem Sicherheitsproblem in Safari an.

Sollten uns Hinweise auf weitere Neuerungen bekannt werden, passen wir den Beitrag im Laufe des Abends oder in den kommenden Tagen noch entsprechend an.

Der Beitrag iOS 15.3 und iPadOS 15.3 von Apple veröffentlicht erschien zuerst auf Macnotes.de.

Das ist Grund genug, zu erläutern, worum es bei dem Thema überhaupt geht. Wir zeigen auch, dass Apple nicht erst jetzt damit anfängt und außerdem nicht das erste Unternehmen ist.

Uploadfilter gegen Kinderpornografie: Worum geht es?

Apple nimmt mit der Veröffentlichung von iOS 15 und iPadOS 15 im Herbst einen Uploadfilter in Betrieb. Dies hatte sich erst im Laufe des Betatests der Betriebssysteme herauskristallisiert. Als Apple die neuen Systeme im Rahmen der WWDC 2021 vorstellte, gab es dazu zunächst keine Informationen. Dies änderte sich in der vergangenen Woche, als Apple eine neue Übersicht veröffentlichte mit Hinweisen, wie man Kindeswohl besser schützen möchte.

Das Unternehmen kontrolliert dabei automatisiert nur Bilder, die auf den Cloudspeicher „in den USA“ hochgeladen werden. Es vergleicht dabei den „Hash-Wert“ einer Bild-Datei vor dem Upload auf iCloud Fotos mit denjenigen einer Datenbank für „Child Sexual Abuse Material“ (CSAM). Kommt es zu Treffern, will Apple dies „irgendwann“ dem „National Center for Missing and Exploited Children“ (NCMEC) melden.

Automatisierter Uploadfilter

Apple will die Fotos auf den Geräten der Nutzer überprüfen, bevor sie in die Cloud hochgeladen werden. Sollte es mit seinem „NeuralHash“-System eine Übereinstimmung finden, wird das Foto vor dem Upload speziell markiert. Es kann dann zu Überprüfungen kommen, wenn ein gewisser Schwellenwert überschritten wird. Vorher bleiben die Bilder verschlüsselt und Apple kann sie nicht einsehen. Wird aber der Schwellenwert überschritten, werden Konzernmitarbeiter sich die Bilder ansehen, um zu entscheiden, ob es sich um meldepflichtiges Material handelt.

Apple „schwört Stein auf Bein“, dass die eigene Technologie eine „extrem hohe Genauigkeit“ habe. Da es hier nicht per se um Nacktheit geht, sondern um Bilder aus Datenbanken, die von echten Kindesmissbrauchsfällen stammen, sollten Urlaubsfotos an dieser Stelle kein Problem darstellen.

iMessage zusätzlich mit Nacktfilter

Ebenfalls ein Stein des Anstoßes ist die Funktion, Bilder in Nachrichten von minderjährigen Kindern auf „Nacktheit“ zu überprüfen. Auch dies soll ein Algorithmus erledigen, nur auf den Geräten der Nutzer. Entdeckt dieser auf einem Bild in einem Chat von Minderjährigen etwas „Nacktheit“, werden die Fotos verwaschen und Kindern wie Eltern gleichermaßen werden darüber informiert, dass die Zöglinge etwas scheinbar Verbotenes tun.

Anfangs wird auch diese Funktion nur in den USA genutzt. Wenn Apple das Feature aber ausweitet, wird eine Probe aufs Exempel sicher das Urlaubsfoto der Familie auf dem FKK-Strand werden.

Diese Nacktheitsüberwachung in der Nachrichten-App wird entsprechend mit iOS 15, iPadOS 15 und aber auch macOS Monterey Einzug halten. Apple betont in seiner FAQ (PDF), dass beide Funktionen explizit nicht dieselbe Technologie zur Erkennung nutzen.

FAQ

Apple veröffentlichte seinerseits in der Folge einer FAQ, die wir im Absatz davor bereits verlinkt haben. Man wollte Unklarheiten aus der Welt schaffen. Einige interessante Themen greifen wir an dieser Stelle noch einmal auf.

Wie wirkt sich dies auf Ende-zu-Ende-Verschlüsselung aus?

Sind Chats deshalb in Zukunft nicht mehr verschlüsselt? Apple scannt die Bilder vor dem Senden auf den Geräten. Die eigentliche Kommunikation bleibt deshalb unberührt.

Werden alle meine Fotos gescannt?

Diese Frage kann Apple grundsätzlich nur mit Ja beantworten, umschifft sie aber ein wenig. Letztlich gibt es ja bereits jetzt Algorithmen, die alle unsere Fotos durchforsten und uns helfen, sie besser zu verstehen. So erkennt Apple Personen, Tiere, Objekte, etc.

Es gibt trotzdem eine Differenzierung. Eine Überprüfung auf Nacktheit soll laut Apple nur dann stattfinden, wenn Eltern die Funktion zum Jugendschutz einschalten und auch dann nur bei Bildern, die Kinder in ihren Nachrichten versenden. Erwachsene, die freizügige Fotos austauschen, werden von dem Algorithmus verschont.

Daneben gibt es dann eben den zweiten Algorithmus, der tatsächlich vor dem Upload von Bildern in die Cloud aktiv wird. Man könnte die Funktion also umgehen, indem man iCloud Fotos deaktiviert. Ansonsten gleicht Apple nicht die Bilder, sondern nur die „Hashes“ ab gegen eine Datenbank von Fotos, die Kinderschutzorganisationen bereitstellen. Apple wehrt sich an dieser Stelle auch gegen Einmischung aus der Politik und behauptet, dass das System nicht manipuliert werden kann und am Ende niemand Angst haben muss, aus Versehen am Pranger zu landen.

Feedback: Kritik und Lob gleichermaßen?

Man habe positives Feedback erhalten, informierte Apple im gleichen Atemzug, als es seine FAQ veröffentlichte. Kindeswohlorganisationen begrüßten den Schritt. Doch auch Sicherheitsunternehmen und Anteilseigner äußerten laut Apple Lob für Apples Vorgehen.

„Since we announced these features, many stakeholders including privacy organizations and child safety organizations have expressed their support of this new solution“.

Doch dies ist nur die eine Seite der Medaille. Denn in den sozialen Medien und aber auch in Publikationen wie der Financial Times äußerten Experten Kritik. Natürlich ließen auch Konkurrenten wie Epic Games CEO Tim Sweeney es nicht aus, das Vorgehen zu kritisieren.

Dammbruch durch Apple?

So veröffentlichte Kryptographie-Experte Matthew Green von der Johns Hopkins Universität eine Reihe von Tweets. Er sieht Apples Schritt kritisch. Das Unternehmen könnte die Überprüfung womöglich irgendwann auch auf Ende-zu-Ende-verschlüsselte Gespräche im Chat ausweiten und außerdem auf ganz andere Kategorien.

Er zeichnet im Verlauf seiner Tweets ein dystopisches Bild von einer Zukunft, in der Apple nun den Dammbruch begangen hat. Regierungen würden ähnliche Filter in Zukunft auch von anderen Unternehmen einfordern. Green sieht zudem einen Widerspruch in Apples Credo von Privatsphäre. Jemand, der jedes einzelne Bild überwache, das ein Nutzer hochlädt, so Green, könne sich diese nicht auf die Fahnen schreiben.

Alec Muffett (Experte für Internetsicherheit) kritisiert Apples Vorgehen ebenfalls, sieht darin einen Rückfall um 1984 Wirklichkeit werden zu lassen. Dies ist als Anspielung auf den Roman von Aldous Houxley gemünzt.

Ross Anderson (Professor in Cambridge) erwartet möglicherweise den Start der Massenüberwachung.

Twitter, Microsoft und Facebook bereits mit Uploadfiltern

Als einer Art von Verteidigung kann man Argumente von Charles Arthur sehen. Der schreibt und belegt, dass Apple mit seinem Uploadfilter gar nicht das erste Unternehmen am Markt ist. Schon 2011 startete Facebook mit einem ähnlichen System. Auch Microsoft und Twitter würden dies tun. Noch früher als Mark Zuckerberg fing laut Arthur jedoch Google damit an. Seit 2008 gibt es einen Uploadfilter gegen kinderpornografische Inhalte beim Suchmaschinenanbieter.

Apple beginnt nicht erst jetzt

Dazu kommt jedoch noch etwas. Jane Horvath, Apples Chief Privacy Officer, äußerte öffentlich bereits früher, dass Apple Inhalte auf kinderpornografische Relevanz überprüfe. Accounts, auf denen entsprechende Inhalte gefunden werden, würden stillgelegt, so Horvath.

Der iPhone-Hersteller änderte übrigens bereits 2019 seine Geschäftsbedingungen und wies darauf hin, hochgeladene Inhalte zu überprüfen. Neu ist lediglich das Ausmaß in Kooperation mit der offiziellen Datenbank.

Spyware von Regierungen?

Tim Sweeney, seines Zeichens Geschäftsführer von Epic Games, sprach von einer Regierungsschnüffelsoftware, die Apple installiert. Die Nutzer würden unter den Generalverdacht gestellt, schuldig zu sein. Dass Sweeney nicht gut auf Apple zu sprechen ist, leuchtet ein. Sein Unternehmen ist im Clinch mit Apple vor Gericht. Grundsätzlich stimmt aber seine Schlussfolgerung. Denn als „unbescholtener“ Bürger zu wissen, dass die eigenen Bilder in jedem Fall in irgendeiner Form, und sei es auch „anonym“ durch einen Algorithmus, geprüft werden, dürfte nicht jedem Gefallen.

Kommt die „Backdoor“?

Die Organisation für digitale Bürgerrechte, die Electronic Frontier Foundation (EFF), kommentierte Apples Entscheidung ebenfalls kritisch. De facto würde das Unternehmen mit diesem Schritt eine Hintertür in seine Systeme einbauen, wenn es darauf ankommt doch verschlüsselte Inhalte einsehen zu können.

Kindesmissbrauch sei eine ernste Angelegenheit, aber Apple würde mit diesem Schritt die Büchse der Pandora öffnen. Denn selbst wenn der Hersteller betont, dass er ein System entwickle, das nicht manipuliert werden könne. Einmal aktiv, könnte es auch durch Dritte angepasst und manipuliert werden, um dann Gespräche zu belauschen in einer Art, in der Apple selbst es gar nicht plant.

Massenüberwachung?

Niemand Geringerer als Edward Snowden spricht auf Twitter deshalb außerdem von einer Massenüberwachung, die der iPhone-Hersteller einführt. Den Verdacht muss Apple aushalten. Der Konzern betont jedoch, dass man keine Ausnahmen machen werde und seinen Datenbankabgleich nicht für Regierungen und auf Druck von außen erweitern werde.

An dieser Stelle wird sich zeigen, wie weit das Band des Vertrauens zwischen Apple und seinen Kunden über die Jahre gewachsen ist, oder ob nicht doch einige dem Vorzeigeunternehmen den Rücken kehren. Kleiner Tipp: Es werden nicht diejenigen sein, die behaupten, sie hätten nichts zu verbergen.

Der Beitrag Apples Uploadfilter für iCloud Fotos und iMessage: Die wichtigsten Fragen beantwortet erschien zuerst auf Macnotes.de.

Besitzer älterer iOS-Geräte sollten diese nicht wegwerfen. Mit einem Jailbreak kann man damit noch eine ganze Menge anfangen, selbst wenn App-Entwickler keine Software-Updates mehr veröffentlichen.

Jailbreak auch auf M1-Macs nutzen

Seit Ende April gibt es eine Version von checkra1n, die auch auf M1-Macs von Apple funktioniert. Vorher gab es Probleme mit dem Jailbreak auf diesen Geräten. Die Entwickler beschreiben ein Problem mit den USB-Anschlüssen auf diesen Geräten, die anders funktionieren als auf anderen Plattformen. Entsprechend mussten Funktionen umgeschrieben werden und bereiten teilweise noch immer Probleme.

Seit dem Update auf 0.12.3 vom 30. April, ist die Nutzung der Jailbreak-Software auf Apple Silicon Macs aber möglich. Mittlerweile gibt es auch 0.12.4. Doch bei der Software handelt es sich um eine Beta. Es wird nicht empfohlen, sie auf Produktivsystemen zu installieren.

Welche Geräte kann ich damit entsperren?

Alle Geräte seit dem iPhone 5s bis hin zum iPhone X kann man mit checkra1n „jailbreaken“. Das Team macht sich dazu eine Sicherheitslücke in der „Hardware“ zunutze. Der Exploit nennt sich checkm8 und funktioniert auf allen Geräten, die einen Apple A10 Chip oder älter nutzen. Denn der Konzern aus Cupertino hat dieses hardwareseitige Lücke im Chipdesign mit Einführung des Apple A11 korrigiert. Diese Geräte sind also nicht mehr anfällig dafür.

Apple stoppte mit der Veröffentlichung von iOS 14.5.1 vor Kurzem zwar die Signatur von iOS 14.5. Doch Nutzer, die diese Betriebssystemversion noch installiert haben, können die Geräte mit checkra1n grundsätzlich entsperren.

Die aktuell verfügbare Version 0.12.4 der Jailbreak-Software funktioniert momentan nur unter macOS und Linux, nicht aber unter Windows.

Wer nicht weiß, wozu er oder sie einen Jailbreak benötigen könnte, der lässt am besten die Finger davon.

Unc0ver bislang nur mit iOS 14.3

Das konkurrierende unc0ver-Projekt kann zwar mehr Geräte entsperren. Doch derzeit sind die Hacker damit nur in der Lage Geräte mit iOS 14.3 zu entsperren.

Der Beitrag Jailbreak für iOS 14.5 möglich, mit checkra1n erschien zuerst auf Macnotes.de.

H. ist selbstständiger Sicherheitsberater und als solcher war er unter anderem tätig für die KBC Bank, berät aktuell aber auch DHL.

Apples T2-Chip anfällig

In seiner Freizeit fand H. offenbar Möglichkeiten, die Sicherheitsvorkehrungen des T2-Chips zu umgehen. Angreifern wäre es deshalb möglich, Root-Zugriff zu bekommen und beispielsweise eigene Software zu installieren.

Da der T2-Chip sich auch um den Tastaturzugriff kümmert, lässt sich so beispielsweise ein Keylogger installieren, der es Angreifern ermöglicht, Passwörter abzufangen.

T2 basiert auf Apple A10

Hardwareseitig ist der T2-Chip ein Ableger des Apple A10 Chips. Die Prozessoren teilen sich ein Chipdesign und damit eben einen Designfehler, der sie anfällig für den checkm8-Exploit macht. Genau dieser wird beispielsweise für den checkra1n-Jailbreak eingesetzt. Ältere Geräte, bis hin zum iPhone X, das auch den A10 nutzt, aber auch das Apple TV 4K, lassen sich so, ganz gleich mit welcher Version von iOS, relativ schnell „knacken“, das gilt auch für iOS 14.

Apple hat zwar Sicherheitsvorkehrungen getroffen. Denn eigentlich sollte bei einer Anfrage zum Entschlüsseln von Daten einen Fehler zurückgeben und mit der Ausführung im DFU-Modus nicht fortfahren. Doch über eine andere Sicherheitslücke, die von Pangu entwickelt wurde, gelingt es, dem DFU-Modus diese Sicherheitsvorkehrung auszutreiben.

Glück im Unglück?

Unter dem Strich kommen Angreifer trotzdem nicht unmittelbar an die Daten der Nutzer, jedenfalls dann nicht, wenn diese sie verschlüsseln. Der oben genannte Umweg über einen Keylogger bleibt natürlich vorhanden.

Veröffentlichung soll Apple Druck machen

Laut H. gibt es nur die Möglichkeit, dass Apple den Fehler im T2-Chip hardwareseitig behebt, um die Sicherheitslücke dauerhaft zu schließen. Für Besitzer aktueller Macs ist das natürlich ein Problem.

Er wandte sich im August an Apples Produktsicherheitsteam und beschrieb detailliert die Sicherheitslücke. Doch seitdem sei nicht viel geschehen. Eine Rückmeldung bekam er seitens Apple trotz mehrfachen Nachfragens nicht. Zuletzt schrieb er Ende September Apple noch einmal und setzte auch Tim Cook ins CC. Aus diesem Grund entschied sich H. dann dazu, Details öffentlich zu machen, obwohl er es eigentlich nicht wollte. Entscheidende Details darüber, wie man die Sicherheitslücke zur Anwendung bringt, hält er natürlich weiterhin zurück. Doch erfahrene Hacker können mit seinen umfangreichen Beschreibungen vermutlich selbst relativ schnell zum Ziel kommen.

Der Beitrag Root-Rechte: Apples T2-Chip mit irreparabler Sicherheitslücke? erschien zuerst auf Macnotes.de.

Tatsächlich gab es mehrere Punkte, nach denen Jobs gefragt wurde. Immerhin hatte der Justizausschuss sich im Vorfeld mit diversen Entwicklern ausgetauscht, um eine Grundlage für die Befragung zu erarbeiten.

Provisionen im App Store während der Pandemie?

Erwartbar war die Frage nach Apples Provision für In-App-Käufe während der Pandemie. Cook sieht eine Pandemie als Tragödie an, die Menschen weltweit beträfe. Apple würde aus dieser Situation keinen Vorteil für sich ziehen.

Cook konkretisierte die Vorwürfe. Sie stammten von Entwicklern, die Ihr Geschäftsmodell umgestellt hätten. Technisch müsste es trotzdem über Apples App Store abgerechnet werden. In zwei Fällen, die Tim Cook bekannt seien, sei Apple jedoch mit den Anbietern der Apps in Gesprächen.

Angesprochen auf das Beispiel der Hey-App betonte Cook lediglich, dass die Widrigkeiten aus dem Weg geräumt seien.

Mag Apple keine Konkurrenz bei Jugendschutz-Apps?

Die Vorwürfe von App-Entwicklern lauten immer mal wieder, Apple würde Konkurrenz nicht zulassen. Im Fall von Apps zum Jugendschutz widersprach Cook allerdings mehrfach. Man habe 2019 Apps zum Jugendschutz entfernt, weil sie unverantwortlich Gebrauch vom „Mobile Device Management“ (MDM) machten. Die Apps hätten die Privatsphäre der Kinder nicht gewahrt und gleichzeitig deren Sicherheit aufs Spiel gesetzt.

2011 wollte Apple die Provision für Abos sogar anheben

Während der Anhörung wurden auch Inhalte aus internen E-Mails von Apple bekannt. So überlegte man bei Apple im Jahr 2011 offenbar die Provision von 30 Prozent sogar auf 40 Prozent anzuheben.

Eddy Cue schrieb damals, dass man bei Abonnements zumindest in Jahr 1 auf 40 Prozent draufsatteln sollte. Andernfalls würde Apple womöglich Geld liegen lassen. Cue schrieb aber auch, dass man erst ein paar „Deals“ einfädeln müsste, um zu sehen, wie Kosten und Nutzen im Verhältnis stehen. Beispiele für solche Verträge nennt Cue ebenfalls und spricht die MLB, die NBA und Hulu an.

Apple bietet bei Abos Entwicklern mittlerweile verbesserte Konditionen an. Nur im ersten Jahr verlangt es 30 Prozent Provision. Bleibt ein Nutzer ein Jahr dabei, reduziert sich Apples Anteil auf dann 15 Prozent.

Tim Cook erklärte gegenüber dem Justizausschau auch, dass für 84 Prozent aller Apps im App Store gar keine Gebühren anfallen.

Auch andere Firmenchefs bei Anhörung

Zuvor waren unter anderem auch Facebook-Chef Mark Zuckerberg, Googles Sunda Pichai und Amazon-CEO Jeff Bezos vor dem Justizausschuss aufgetreten und hatten jeweils auch mit einem Eröffnungsstatement begonnen. Politico veröffentlichte die vier Statements online. Sie stehen in Gänze aber auch auf den Webseiten des US-Hauses als PDF zum Download bereit (vgl. Daring Fireball).

Bezos gesteht

Bezos trat selbstbewusst auf und versuchte den Vorwurf zu entkräften, Amazon würde Daten von Drittanbietern nutzen, um eigene Produkte besser verkaufen zu können. Der Amazon-Chef gab dieses Verhalten sogar zu: Obwohl es Vorschriften gäbe, so Bezos, die das verhindern sollen, könne er seine Hand nicht ins Feuer dafür legen, dass nicht doch Mitarbeiter Kundendaten angesehen hätten.

Zuckerberg lenkt ab

Mark Zuckerberg versuchte die Rolle des eigenen Unternehmens herunterzuspielen. Facebook sei in vielen Feldern hinter der Konkurrenz zurück. Der beliebteste Messenger stamme von Apple. Die App mit dem schnellstens Wachstum heiße TikTok, die beliebteste Videoplattform YouTube. Amazons Werbeplattform wüchse am schnellsten und Google hätte zudem die größte Werbeplattform, so Zuckerberg.

Facebook steht vor allem wegen der vielen Übernahmen in den letzten Jahren (WhatsApp, Instagram, Oculus, und andere mehr) am Pranger. Gerade dazu wurden interessante Details bekannt. 2012 schrieb der Facebook-Chef Tage vor der Übernahme Instagrams, dass die Plattform Facebook wehtun könne. Als Grund für eine mögliche Übernahme gab Zuckerberg damals an, einen potenziellen Konkurrenten zu „neutralisieren“.

Der Beitrag Tim Cook bei Anhörung: App Store ist ein Jobwunder erschien zuerst auf Macnotes.de.

Wenn Nutzer in der Vergangenheit eine Antivirus-Software von Kaspersky Lab, Microsoft, McAfee, F-Secure, Sophos, Avira, Bitdefender oder anderen einsetzten, konnte es zum Supergau kommen. Schadsoftware konnte mit sogenannten Symlinks dafür sorgen, dass sogar reguläre Dateien auf den Computern gelöscht wurden.

Seit 2018 begaben sich die IT-Spezialisten von Rack911 Labs auf die Suche nach Antivirensoftware, die über ein- und dieselbe Schwachstelle verfügte.

Antivirensoftware mit Schwachstelle

Tatsächlich nutzte Rack911 Labs die Vorgehensweise der Apps aus. Viele Antivirenprogramme „scannen“ die Festplatte und analysieren neue Dateien. Stellt das Virus-Tool dabei fest, dass eine Datei möglicherweise gefährlich ist, wird sie in Quarantäne verschoben und der Nutzer informiert, er könnte die Datei auch direkt löschen, sollte es am besten auch.

Mit Symlinks manipulieren

Nun konnte man jedoch einen Fehler im System ausnutzen, der sogenannte „Symlinks“ verwendete, um auf andere Dateien zu verweisen. Unter Windows gibt es „Pfad-Verknüpfungen“ (engl. directory junctions), unter macOS und Linux gibt es überdies noch „symbolische Verknüpfungen“. Solche „symbolischen Links“ und Pfad-Verknüpfungen konnten offenbar auf einfache Weise zur Manipulation von Antivirensoftware eingesetzt werden.

Während das Antiviren-Tool also glaubte, richtig zu handeln, löschte es am Ende womöglich reguläre und wichtige Dateien. Rack911 Labs beschreibt die Methode als einzigartig aber auch unheimlich simpel.

Zeitkorridor nutzen

Zwischen dem Zeitpunkt, an dem das Virus-Tool eine vermeintliche schadvolle Datei erkennt und sie dann aber auch bearbeitet, vergeht mal mehr, mal weniger Zeit. Malware-Autoren können diese Zeit nutzen, um über symbolische Verknüpfungen am Ende sogar die Antiviren-Software auszuhebeln. Schlimmstenfalls wäre, wenn Systemdateien gelöscht würden, eine komplette Neuinstallation notwendig. Heise nennt dies einen ungewollten Selbstzerstörungsmodus.

Unter Windows konnten Dateien, die im Gebrauch waren, nicht gelöscht werden. Sehr wohl löschten manche Viren-Tools diese dann aber beim nächsten Neustart, wie Rack911Labs erklärt.

Das Vertrauen in Antivirus-Apps

Einerseits zeigt der Vorfall, dass das Vertrauen in Antivirus-Software Schaden nehmen kann. Es zeigt aber außerdem, dass das grundsätzliche Vertrauen der Systeme in solche Apps problematisch ist. Denn bei der Installation erbeten diese viele privilegierte Rechte, die ihnen dann erlauben Dateiaktionen auszuführen, selbst wenn sie keine Root- oder Admin-Rechte haben.

Betroffen? Das Who-is-who der Branche

Zur Wahrheit gehört natürlich außerdem, dass nicht etwa schäbige Anti-Malware-Tools betroffen sind/waren, sondern vielmehr Apps namhafter Hersteller wie Sophos, Kaspersky Lab, Bitdefender und sogar Microsoft.

Das nachfolgende Video zeigt beispielsweise die Anwendung des Exploit mit McAfee Endpoint Security unter Windows.

Ein weiteres dokumentiert die Sicherheitslücke in Zusammenarbeit mit Norton Internet Security am Mac.

Die nachfolgende Auflistung an Software ist aus mehreren Gründen unvollständig. Zum einen bieten Hersteller Software unter unterschiedlichen Namen an, die aber die gleiche Technologie unter der Haube verwenden. Entsprechend könnten auch diese Apps betroffen sein. Zum anderen konnte Rack911 Labs nicht alle weltweit verfügbaren Tools testen. Doch die IT-Spezialisten haben im Nachgang auf Nachfrage auch weitere Tools überprüft, die ebenfalls das Problem aufwiesen. Im Ergebnis gibt es also eine hohe Dunkelziffer.

Welche Windows-Apps sind betroffen

Folgende Windows-Software ist/war betroffen:

• Avast Free Anti-Virus
• Avira Free Anti-Virus
• BitDefender GravityZone
• Comodo Endpoint Security
• F-Secure Computer Protection
• FireEye Endpoint Security
• Intercept X (Sophos)
• Kaspersky Endpoint Security
• Malwarebytes for Windows
• McAfee Endpoint Security
• Panda Dome
• Webroot Secure Anywhere

Welche Mac-Apps sind betroffen

Folgende Mac-Software ist/war betroffen:

• AVG
• BitDefender Total Security
• Eset Cyber Security
• Kaspersky Internet Security
• McAfee Total Protection
• Microsoft Defender (BETA)
• Norton Security
• Sophos Home
• Webroot Secure Anywhere

Welche Linux-Software betroffen ist

Folgende Linux-Apps ist/war betroffen:

• BitDefender GravityZone
• Comodo Endpoint Security
• Eset File Server Security
• F-Secure Linux Security
• Kaspersy Endpoint Security
• McAfee Endpoint Security
• Sophos Anti-Virus for Linux

Viele Apps bereits mit Updates

Rack911 Labs informiert darüber, dass es die Hersteller einzeln über die Schwachstellen der Apps informierte. „Viele“ hätten bereits Updates herausgebracht, die das Problem beheben. Dummerweise aber noch nicht „alle“. Um auf Nummer sicher zu gehen, muss man vermutlich selbst beim Anbieter der eigenen Antiviren-Software nachfragen.

Update

: Avast/AVG kontaktierte uns. Man ließ uns wissen, dass die eigenen Apps nicht (mehr) von dem Szenario betroffen seien. Offenbar kontaktierte Rack911 Labs das Unternehmen im März 2019, im April 2019 wurde dann ein Update für die betroffenen Apps veröffentlicht. Der Hersteller hat außerdem keine Hinweise darauf, dass die beschriebene Lücke tatsächlich zur Anwendung kam.

„Das im Artikel beschriebene Szenario trifft nicht auf Avast und AVG Antivirus (Gratis- und Premium-Versionen) zu, da Checks, durchgeführt von Avast und AVG File Shield, den Angriff erkennen und blocken würden.“ (Avast)

Auch andere Software betroffen

Laut Rack911 Labs ist es denkbar, dass auch andere Apps das gleiche Problem haben im Umgang mit symbolische Verknüpfungen und auf diese Weise selbst zu Opfern dieses Exploits werden können. App-Entwickler sollten ihre Software daraufhin untersuchen.

Welcher Schaden ist entstanden?

Eine Frage, die Rack911 Labs unbeantwortet lässt, ist diejenige, ob durch diesen Fehler messbarer Schaden entstanden sein könnte. Die IT-Sicherheitsspezialisten haben einen Fehler entdeckt und geholfen, ihn zu beheben. Ob diese Lücke tatsächlich ausgenutzt wurde, und wenn ja, wie oft – diese Antwort bleibt man uns schuldig.

Der Beitrag Antivirus-Software für Windows, Linux und macOS löscht(e) Dateien erschien zuerst auf Macnotes.de.

Apples Mobilbetriebssystem iOS war in früheren Versionen jahrelang anfällig für Angriffe aus dem Web: Diese nutzten verschiedene Schwachstellen in der Software von Apple aus. Allein fünf Sicherheitslücken im Kernel des Systems wurden genutzt, um Malware auf die Geräte zu schleusen, weitere Löcher klafften in der Sandbox des Browsers Safari. Die Angriffe konnten vom Nutzer in der Regel nicht bemerkt werden.

Attacke aus dem Internet

Sie wurden über manipulierte Webseiten durchgeführt. Diese haben bis zu einige tausend Aufrufe in der Woche gezählt. Angegriffen wurden iOS-Installationen ab der Version 10 bis einschließlich alle Versionen von iOS 12 vor iOS 12.1.4. Nachdem eine Malware auf dem Gerät installiert worden war, war es den Angreifern unter anderem möglich, Daten von den iPhones zu stehlen. Auch konnten sie die Standortdaten der Geräte auslesen und haben dies vielfach auch alle 60 Sekunden zu tun.

Um sich die Malware einzufangen, war bis auf den Besuch des Opfers auf der manipulierten Webseite keine weitere Aktion nötig. Entdeckt worden waren die Löcher in iOS und die laufenden Attacken von Sicherheitsforschern bei Googles Project Zero, wo gezielt nach Schwachstellen in Software und Betriebssystemen gesucht wird.
In diesem besonders dringlichen Fall informierte man Apple Anfang Februar, wie in einem Blog-Beitrag von den Entdeckern der Schwachstellen ausgeführt wird und gab dem Unternehme eine Woche Zeit, die Probleme zu beseitigen. Apple schaffte es, am 09. Februar iOS 12.1.4 an die Nutzer zu verteilen, durch das die Löcher geschlossen und die Attacken gestoppt werden konnten.

Der Beitrag Löcher in iOS: Hacker konnten lange Daten von iPhones stehlen erschien zuerst auf Macnotes.de.

Lange galten iPhones als quasi kaum knackbar, wenn es auch immer wieder Sicherheitslücken gab und Tools am Markt waren, die ältere Geräte öffnen konnten. Zu nennen wäre hie etwa das alte iPhone 5c. Doch inzwischen sind mehrere Anwendungen aus Israel und den USA verfügbar, die iPhones auch aus dem aktuellen Lineup öffnen können, auch mit dem aktuellsten iOS installiert.

Diese Tools überwinden einfache Codes äußerst schnell.

Vierstellige Codes bieten kaum Schutz

Zwar sind solche Tools nur für Polizei- und Strafermittlungsbehörden verfügbar und ganz billig sind sie auch nicht, für die Vollversion der Anwendung, die unter anderem von einem Ex-Apple-Sicherheitsingenieur mitentwickelt wurde, werden etwa 30.000 Dollar fällig, doch sie ebnen einen schnellen Weg ins entsperrte iPhone. ein vierstelliger Passcode wird von dem Tool in maximal 13 Minuten geknackt, häufig geht es auch schneller.

Guide to iOS estimated passcode cracking times (assumes random decimal passcode + an exploit that breaks SEP throttling):

4 digits: ~13min worst (~6.5avg)
6 digits: ~22.2hrs worst (~11.1avg)
8 digits: ~92.5days worst (~46avg)
10 digits: ~9259days worst (~4629avg)

— Matthew Green (@matthew_d_green) 16. April 2018

Ein sechsstelliger Code kostet die App immerhin durchschnittlich 1^und maximal 22 Stunden.

Wer einen acht- bis zehnstelligen Code wählt, ist auf der sichersten Seite. Hier steigt die Zeit, die für das entsperren nötig wird, auf mehrere Monate bis Dutzende Jahre.

Grundsätzlich ist zu empfehlen, einen Code aus vielen Buchstaben, Ziffern und Sonderzeichen zu verwenden.

Apple dürfte in Bälde versuchen, die bestehenden Sicherheitsprobleme auszuräumen.

Der Beitrag iPhone-Sperrcode: Aktuelle Hacker-Tools brauchen nur noch Minuten erschien zuerst auf Macnotes.de.

Veraltete EFI im Umlauf

Duo Security hat sich bei produktiv genutzten Macs umgesehen und dabei festgestellt, dass eine durchaus beachtliche Menge noch mit einer veralteten EFI-Firmware verwendet wird. Diese könnten dafür verwendet werden, Schadsoftware zu platzieren, die auch eine Neuinstallation von macOS überleben würde.

Analysiert wurden 73.324 Macs an verschiedenen Stellen, die allesamt gemeinsam haben, dass sie produktiv verwendet werden. 4,2% von ihnen kamen mit einer veralteten EFI-Firmware, obwohl das installierte Betriebssystem neuer ist. Apple liefert seit einiger Zeit EFI-Updates zusammen mit macOS-Updates aus, insofern stellt sich natürlich die Frage, wie das passieren konnte.

Am häufigsten sei der iMac 21,5 Zoll aus 2015 betroffen. 43 Prozent der Systeme verwenden nicht die aktuellste Firmware. Das EFI-System ist eine Art Betriebssystem, das vor dem eigentlichen Start geladen wird. Es verwaltet die Hardware wie RAM oder Festplatten und kann das eigentliche Betriebssystem booten. Mit Thunderstrike gibt es einen relativ bekannten Exploit, der tatsächlich (auch außerhalb des Labors) existiert.

Warum die betroffenen Macs das Update nicht erhalten haben, obwohl es im Rahmen des Mac-Updates hätte installiert werden sollen, ist nicht bekannt. Ab macOS High Sierra prüft das Betriebssystem einmal die Woche, ob die aktuellste Version installiert ist und ob sie noch original ist.

Der Beitrag Veraltete EFI-Version: Viele Macs sind ein Sicherheitsrisiko erschien zuerst auf Macnotes.de.