Sicherheitsforscher: Modifizierte Webseiten konnten jahrelang iPhone-Nutzer ausspähen

[MMV]

Bequemlichkeit teils ja - und teils sogar strotzende Ignoranz, wie man auch hier liest.

Den meisten wird es egal sein, da sind wir uns einig. Allerdings muss man Technik-affin sein und sich mit deinen Gerätschaften auseinander setzen wollen. Auf 20 kommt da vielleicht 1 Person in meinem Umfeld, die sich immer mal informiert und auch nachfragt. Dem Rest ist es Latte. Solange WhatsApp und Facebook laufen...man habe ja nichts zu verbergen, die Argumente sind seit Jahren die gleichen. Soll ich da missionieren? Nein. Habe ich längst aufgegeben.

 

[echo.park]

Mhm...schwierig.

Was verstehst Du unter Ignoranz? Also eine Leugnung der Problematik habe ich hier nicht lesen können. Nur eine unterschiedliche persönliche Bewertung der Relevanz für das eigene digitale Sein. Das ist erstmal jedem selbst überlassen und weder gut noch schlecht.

Wenn jemand jetzt die Auswirkung auf dieses eigene Sein als wenig relevant einschätzt, hat dies meiner Meinung nichts mit Ignoranz zu tun, im Gegenteil sogar. Man beschäftigt sich mit einer Sache und nimmt eine Bewertung vor. Der eine kommt zu diesem Schluß, der andere zu jenem. Dass jeder zu einer eigenen Bewertung kommen sollte, dürfte klar sein. Genauso wie die Variationen der Ergebnisse dieser persönlichen Einschätzung.

Was bedeutet denn eine Bewertung? Dass am Ende eine Konsequenz folgt. Entweder man unternimmt etwas oder nicht. Was kann ich als User tun? Mein Verhalten anpassen, um am wenigsten angreifbar zu sein. Oder das System wechseln. Oder oder oder...Es gibt dererlei viele Möglichkeiten.

Aber eines ist klar. Zur Bewertung zu kommen, dass alles unglaublich schlimm ist und dann darauf keine Konsequenzen zu ziehen, ist relativ sinnbefreit.

Dem ist nichts hinzuzufügen. Sehr guter Beitrag. Bringt es auf den Punkt.

 

[giesbert]

Soll ich da missionieren?

Andere Leute missionieren zu wollen ist immer eine ganz schlechte Idee .

 

[MMV]

Andere Leute missionieren zu wollen ist immer eine ganz schlechte Idee .

Och, manchmal war mir in der Vergangenheit durchaus danach, weil die meisten in unserem Umfeld wissen, dass ich mehr als affin in der Thematik bin und so kam es schnell zu regelmäßigen Supportanfragen. Aber, wer halt mit offenem Visier in die Probleme rennt, der macht dies nun bei vollem Bewusstsein und auch mit dem Wissen, dass ich nicht mehr helfe.

 

[giesbert]

Och, manchmal war mir in der Vergangenheit durchaus danach, weil die meisten in unserem Umfeld wissen, dass ich mehr als affin in der Thematik bin und so kam es schnell zu regelmäßigen Supportanfragen.

Diese regelmäßigen Anfragen sind der Grund, warum ich mich häufig mit "ne, kenn ich mich nicht mit aus" herausrede . Nur manchmal, wenn ich zufällig etwas sehr umständliches oder leichtsinniges sehe, dann frag ich mal nach "Du weißt schon, dass ..." - aber das ist ja kein missionieren, sondern das Angebot einer Hilfestellung. Sachichmalso.

Aber, wer halt mit offenem Visier in die Probleme rennt,

Eben. Da ist dann meist eh Hopfen & Malz verloren. Und kostenlose Schulungen oder Crash-Kurse mach ich nicht.

 

[MMV]

Diese regelmäßigen Anfragen sind der Grund, warum ich mich häufig mit "ne, kenn ich mich nicht mit aus" herausrede . Nur manchmal, wenn ich zufällig etwas sehr umständliches oder leichtsinniges sehe, dann frag ich mal nach "Du weißt schon, dass ..." - aber das ist ja kein missionieren, sondern das Angebot einer Hilfestellung. Sachichmalso.
.

Naja, die Menschen in meinem Umfeld wissen, dass IT mein Feld ist, dass ich tagtäglich beackere. Lediglich bei neuen Menschen, die ich kennenlerne, sage ich direkt von Anfang an, dass ich Werkzeugmacher bin und von Technik keinen Schimmer habe, weswegen ich Apple nehme. Das soll so leicht und intuitiv sein

Mir geht es ja auch eher um Personen, die zB noch ein Galaxy S5 nutzen, letzter Patch aus dem August 17 und alles, wirklich alles, wird mit diesem Gerät erledigt, inkl Banking. Hat man dann aber plötzlich PayPal Phishing an der Backe, Überweisungen von 3000 Euro und viele neue Freunde in Nigeria, die sich plötzlich auf FB tummeln, da zucke ich nur noch mit den Schultern. Aus Schaden wird man klug. Manchmal.

 

[giesbert]

dass ich Werkzeugmacher bin und von Technik keinen Schimmer habe, weswegen ich Apple nehme. Das soll so leicht und intuitiv sein

Muss ich mir merken

 

[Scotch]

Ist hier für irgend jemanden Schaden entstanden?!

Das ist das Problem: Das weiss im Moment keiner.

stattdessen wird es auf eine Region heruntergebrochen und eine ethnische Herkunft ins Spiel gebracht

Woher kommt denn das denn nun schon wieder? Project Zero schreibt "(...) There was no target discrimination; simply visiting the hacked site was enough for the exploit server to attack your device, (...)" Das ist das exakte Gegenteil von deiner Aussage. Im Klartext: kein gerichtet Angriff auf individuelle Ziele, jeder Besucher der kompromittierten Webseiten war/ist ein Ziel.

Sollten es tatsächlich nur asiatische Seiten sein

Zum x-ten mal: Wo kommen diese Diskussionen über "asiatische Webseiten" her? Da gibt es in den Primärquellen überhaupt keine Anhaltspunkte für (oder ich hab' trotz inzwischen mehrfachem Lesen was Fundamentales übersehen - dann bitte mal einen Link (aber bitte zur Google-Analyse, nicht zu irgendwelchen wilden Interpretationen wie das was hier gerade abgeht)).

Dass es hier primär um Apple User geht

Nicht primär, ausschliesslich.

Aber, Google und China, da war doch mal was

Noch mal: Was hat Google damit zu tun??? "Chinesische Hacker kompromittieren im großen Stil Apple-gerät, damit Google das Aufdecken kann" oder wie geht da dein für mich nicht nachvollziehbarer Gedankengang???

Das Szenario, dass Google sehr wohl alle Seiten benennen könnte, es aber nicht darf, ist im möglichen Bereich angesiedelt

Selbstverständlich ist es das. Aber wer wäre würde denn mit solchen Vorgaben auf Google potentiell noch viel mehr Eindruck machen als China? Na? Ich habe in meinem ersten Beitrag bereits angedeutet, dass das nicht irgendeine Hackergruppe sein wird. Aber wenn man schon zu staatlichen Stellen schaut, dann bestimmt nicht nur nach Osten.

Aber sie ist gestopft, seit Februar.

Nein verdammt noch mal! Sie ist für die fünf bekannten Implants mit 12.x gestopft. Nichts ist für iOS 10+11 gepatcht, welche beide nachweisslich angreifbar sind. iOS 11 hat m.E. auch kein EoL, ist also immer noch ein unterstütztes OS. Benutzt das Sandboxing auf tvOS und watchOS eine andere Codebase? Mit Sicherheit aber haben diese beiden OS die gleichen Exploits in WebKit. Wie kannst du hier gebetsmühlenartig "ist alle gepatcht" wiederholen?

Der GAU ist ausgeblieben.

Ist er das? Soll ich dir die Zeile "(...) for this one campaign that we’ve seen, there are almost certainly others that are yet to be seen. (...) Given the breadth of information stolen, the attackers may nevertheless be able to maintain persistent access to various accounts and services by using the stolen authentication tokens from the keychain, even after they lose access to the device." übersetzen???

Mit tvOS und watchOS surft man keine Webseiten an.

Schon klar, wenn du keinen Webbrowser benutzt, ruft dein Gerät auch keine Webserver an. Weil wenn du eine App z.B. zum Zugriff auf eine der Mediatheken dieser Welt benutzt passieren da natürlich komplett andere Dinge, als wenn du das über deinen Browser machen würdest.

Bei soviel technischem Unverständnis kann man nur noch den Kopf schütteln.

Zudem gibt es auf diesen Geräten quasi nichts zu holen.

Weil da natürlich keine Credentials im Schlüsselbund, Konten für dein NAS, deine Apple-ID, Accounts für Amazon Prime, Netflix usw. hinterlegt sind? Und weil das aTV auch einen T2-Chip hat, so dass es kein lohnendes Ziel wäre, um Zugriff z.B. auf ein iDevice zu erhalten?

Aber ich mache keine Panik deswegen, wie ihr zwei.

Die "Panik" dichtest du hier an, bzw. bringst sie durch ständiges Wiederholen deines Vorwurfs und permanentes Verharmlosen überhaupt erst rein. Mein Anliegen war einfach nur die Problematik in den Fokus zu rücken, da es hier aus mir völlig unverständlichen Gründen keinerlei Berichterstattung dazu gab.

Und mit „nichts zu holen“ meine ich, überspitzt formuliert, das dort kein iCloud Schlüsselbund vorhanden ist, der ist auf dem iPhone, nicht auf der Watch oder dem Apple TV.

Das sich iDevices bei Verwendung eines aTV als HomeKit-Zentrale über den iCloud-Schlüsselbund beim aTV authentifizieren, halte ich das für eine gewagte These.

Wie sieht es mit der Sicherheit aus bei den Leuten die die iOS 13.1 Beta nutzen ?

Das wird dir nur jemand beantworten können, der weiss auf welcher iOS 12 Revision die potentiell kompromittierten Komponenten in der Beta aufsetzen. M.W. ist das Information, die Apple überhaupt nicht teilt (ist außer für die Entwickler der Komponenten i.d.R. auch uninteressant). Vielleicht gibt es aber einen Zusammenhang zwischen dieser Geschichte hier und der überraschenden Veröffentlichung der 13.1 Beta am gleichen Tag der Project Zero Veröffentlichung? Und das alles zwei Wochen vor der kolportierten iOS 13 Premiere...

Außerdem, warum berührt Dich das...Du meidest doch normalerweise das Magazin...

Das stimmt, aber bevor ich hier schreibe "steht nix" schaue ich nach, ob "hier" wirklich nichts steht - und das beinhaltet dann auch das Magazin. ich bemühe mich, keine ungeprüften Behauptungen bei wichtigen Themen aufzustellen.

Achtung, das ist ein flacher Scherz!

Und den findest du in Angesicht meiner m.E. überaus sachlichen und sorgfältigen Beiträge in diesem thread in irgendeiner Form angemessen oder passend?

dass mit meiner bescheidenen Einschätzung viele Dinge mehr darauf hinweisen, dass wir es hier mit einem gezielten Angriff im staatlichen Auftrag auf einzelne Personen zu tun haben

Und das schliesst du aus dem Satz "(...) There was no target discrimination; simply visiting the hacked site was enough for the exploit server to attack your device, (...)" ???

 

[echo.park]

“There was no target discrimination.“

Damit ist gemeint, dass jedes iPhone, das besagte Webseite ansurfte, infiziert wurde. Es wurde nicht unterschieden welches Modell, welche Version, welche IP, oder sonst was. Das ändert aber unter Umständen nichts daran, dass besagte Webseite genutzt wurde um eine besondere Personengruppe anzugreifen. Der Rest war dann sozusagen Kollateralschaden.

Mit dem Satz von Google ist eine politisch motivierte Tat also in keinster Weise widerlegt.

Und noch mal, bevor ich mir Gedanken über einen Exploit auf der Apple Watch mache, habe ich das Ding zuvor ja schon auf dem gekoppelten iPhone. Und wenn es soweit gekommen ist, was juckt mich da noch die Watch!?

 

[faith250285]

Mich würde stark interessieren welche Websites das denn nun waren.
Das muß man doch wissen ?

Ist ja ne ähnliche Überraschung wie Pegasus damals.
Wobei Pegasus ja richtig krass war...da ging ja alles...richtiger Trojaner.

 

[kolvi]

Für mich ergeben sich zwei „facts“ aus dieser Geschichte... erstens hat Apple an der Stelle seine Hausaufgaben nicht gemacht (wobei solche Dinge egal wo, immer passieren können - 100% Sicherheit gibt es nicht) und zweitens kann man gezielt immer irgendwo „einbrechen“ - auch bei völlig in sich geschlossenen Systemen, wo die Sekretärin einen usb anschließt...
In der Sache hierzu kann ich nicht mehr sagen, weil ich nicht mehr weiss, als was irgendwo und hier geschrieben steht...

Schlußendlich fühle ich mich in der Apple-Welt immer noch „besser“ aufgehoben, als bei anderen Mitbewerbern... klar ist, wenn es einer auf bewusst auf mich anlegen würde, dann könnte er auch sicher irgendwo in meine Datenwelt eindringen...

 

[faith250285]

Ja Apple ist definitiv das kleinere Übel...für mich gibt es keine Alternative fürs iPhone.
Eine große Wahl hat man ja ohnehin nicht...und Windows Phone is ja schon abgesoffen.

Mich würde stark interessieren ob es eine Möglichkeit gibt zu erfahren ob man selbst denn nun betroffen ist
oder nicht.

Vielleicht kommt da ja noch was...abwarten wie sich das noch entwickelt.

 

[giesbert]

Mich würde stark interessieren welche Websites das denn nun waren.

Da sind wir aus Spekulationen angewiesen.

Was Projekt Zero sagt, mal stichpunktartig in Kurzform:

a) wenige Sites (was nicht heißt, dass es nicht noch mehr gibt!)
b) Sehr elaborierter Hack (= keine Massenware, keine Scrip-Kiddies, keine normalen Hacker, sondern sehr gut bezahlte Profis)
c) Die Seiten haben jedes iPhone gehackt, das sie aufgerufen hat (Notabene: Dazu muss man sie aber erstmal aufrufen, was zur Spekulation führt: Mit Social Engineering wurden Personen dazu veranlasst, die Seiten zu besuchen)
d) Die gefundenen Sites haben geschätzt ein paar Tausend Besucher pro Woche (= keine großen, populären Sites) (wobei mich schon mal interessiert, worauf diese Schätzung basiert - Zugriff auf die Server werden sie ja wohl nicht gehabt haben? Spontan fällt mir da nur Googles Search-Index ein)
e) Dann wirds allgemein: Es gibt keine absolute Sicherheit, jeder ist potentielles Ziel eines Angriffs etc. Aber dann wird's interessant: Von allen denkbaren Beispielen, warum man Ziel eines Angriffs sein könnte, und die sich alle grosso modo unter "die Angreifer wollen deine Kohle" subsummieren lassen –: führt Google ausgerechnet das hier an: "To be targeted might mean simply being born in a certain geographic region or being part of a certain ethnic group." Hm.

Und dann gibt es da noch Techcrunch, die sich auf logischerweise anonyme Quellen berufen: Sources say China used iPhone hacks to target Uyghur Muslims Was ich durchaus für wahrscheinlich halte.

 

[Cohni]

...Und den findest du in Angesicht meiner m.E. überaus sachlichen und sorgfältigen Beiträge in diesem thread in irgendeiner Form angemessen oder passend?

Komische Frage. Ja natürlich, sonst hätte ich den kleinen Scherz nicht gemacht.

Also einfach mal locker bleiben, wenn ich Majestäten beleidigen mag, dann liest sich das deutlich anders und ich kann Dir versichern, dass dies in keiner Weise auf Deine überaus sachlichen und sorgfältigen Beiträge bezogen war, die ich nebenbei bemerkt schätze und gerne als Diskussionsgrundlage nehme.

Die Jacke des Beleidigten hast Du Dir umsonst angezogen, tut mir leid.

Und das schliesst du aus dem Satz "(...) There was no target discrimination; simply visiting the hacked site was enough for the exploit server to attack your device, (...)" ???

Na klar. Nur weil theoretisch jeder betroffen sein könnte, heißt das nicht, dass auch praktisch jeder betroffen sein sollte bzw. Ziel ist/war.

Kein Dienst der Welt wird Google mitteilen, welches konkrete target verfolgt wurde.

Manchmal macht es auch Sinn, den Angriff relativ breit zu streuen, um im Falle der Aufdeckung das wahre Ziel zu verschleiern. Simple Taktik.

Was ich nicht negiere ist beim heutigen Erkenntnisstand das Potential der Bedrohung. Ohne Zweifel.
Aber das wahre Ausmaß bzw. das Motiv dahinter darf vermutet werden und ist keinesfalls klar aus den Dokumenten herauslesbar.

Und offenbar gibt es hier unterschiedliche Interpretationen.

Versionsbildung. Welche ist die wahrscheinlichste, welche die mit der geringsten Wahrscheinlichkeit?

Open mind.

 

[echo.park]

Für mich ergeben sich zwei „facts“ aus dieser Geschichte... erstens hat Apple an der Stelle seine Hausaufgaben nicht gemacht (wobei solche Dinge egal wo, immer passieren können - 100% Sicherheit gibt es nicht)

Und noch mal. Google hat das Problem entdeckt und Apple gemeldet. Nach weniger als einer Woche gab es ein Update. Das ist quasi schon Rekordzeit.

Dass ältere Betriebssysteme ohne Update blieben, das ist was anderes.

 

[giesbert]

Nach weniger als einer Woche

das war nicht freiwillig: "We reported these issues to Apple with a 7-day deadline on 1 Feb 2019, which resulted in the out-of-band release of iOS 12.1.4 on 7 Feb 2019."

 

[Cohni]

Ohne es verharmlosen zu wollen, sehe ich das Ganze als normalen Vorgang. Software wird geknackt.

Dass dies nicht mit der schönen Apple-Werbewelt übereinstimmt, sollte jedem klar sein.

Je mehr die Geräte aus Cubertino sich verbreiten, desto attraktiver werden sie für Angriffe.

Man kann auch eine weitere These diesbezüglich aufstellen.
Der Nimbus des Unknackbaren brachte viele potentielle Ziele dazu, auf die Geräte von Apple umzusteigen.

Dass hier nun ein besonderes Interesse diverser Angreifer-Gruppen (Kriminelle oder staatliche Stellen) entstanden ist, war vorherzusehen.

Etwas Gutes hat die Geschichte für mich, das wurde auch schon von anderen erwähnt, die Software wird sicherer. Wie lange das anhalten wird...der nächste Hack kommt ganz sicher.

 

[faith250285]

Find es gruselig dass das erst jetzt aufgeflogen ist.
Wenn das wirklich schon zwei Jahre lang so ging und keiner davon wusste.
Außer den Drahtziehern natürlich. Und so ein iOS Exploit dürfte auf dem Schwarzmarkt doch eine ganze Stange Geld wert sein ?

( Weiß nicht genau wie das abläuft aber ich hab mal gelesen das entdeckte Exploits sehr viel Geld wert sind. )

Aber wieso bitte forscht Google nach Sicherheits Schwachstellen in iOS statt sich dem eigenen OS zuzuwenden ?
( Was sie natürlich auch tun )

Das würd ich gern mal wissen.

Schließlich kehrt man ja normalerweise vor seiner eigenen Tür.
( Oder sagen wir mal sollte man )

Oder wird diese Forschung auf allen Ebenen, zur Liebe und dem Schutz der Allgemeinheit betrieben ?
In jedem Fall zeigt das mal wieder das ein Internet mit absoluter Sicherheit nur ein schöner Traum ist und bleiben
wird.

Der einzige Weg zu absoluter Sicherheit ist und bleibt, das Internet nicht zu nutzen.
Oder wie bereits vorher gesagt, der all bekannte Alu-Hut...

 

[echo.park]

Auch das ist nicht neu. Viele Lücken bleiben lange Zeit unentdeckt.

 

[Scotch]

Aber wieso bitte forscht Google nach Sicherheits Schwachstellen in iOS statt sich dem eigenen OS zuzuwenden ?

Weil das der Job von Project Zero ist - die werden dafür bezahlt, exploits idealerweise vor den bösen Jungs zu finden. Nicht nur in Android/ChromeOS, sondern eben auch in macOS, Windows, iOS, Linux...