Auch andere Cloud-Dienste betroffen
Spionage-Tool soll Zugriff auf iCloud-Daten ermöglichen
Das vom israelischen Softwareanbieter NSO angebotene Spionage-Werkzeug „Pegasus“ soll in der Lage sein, bei Cloud-basierten Angeboten wie iCloud, Google Drive oder dem Facebook Messenger gespeicherte Daten auszulesen. Einem Bericht der Financial Times zufolge wirbt NSO in Verkaufsgesprächen aktiv mit dieser Dienstleistung.
Pegasus wird als Werkzeug zur Bekämpfung von Kriminalität und Terrorismus vermarktet und soll nur an „verantwortungsbewusste Regierungen“ verkauft werden. Im Laufe der letzten Jahre wurde allerdings mehrfach nachgewiesen, dass die Software auch gezielt zum Ausspähen von politischen Gegnern und Journalisten verwendet wurde.
Die neuen Werbesprüche der Pegasus-Macher sind vollmundig. Neben dem Vollzugriff auf die Mobilgeräte könnten sie nun auch auf persönliche Kundendaten wie Nachrichtenverläufe, Ortsdaten und Fotos zugreifen, die auf den Servern von Apple, Google, Facebook, Amazon und Microsoft gespeichert sind. Der Server-Zugriff bliebe selbst dann erhalten, wenn die Pegasus-Komponenten wieder von einem infizierten Gerät entfernt wurden.
NSO hält sich mit konkreten Angaben zurück und teilt auch nur mit, dass die Methode auf „vielen der aktuellen iPhones und Android-Smartphones“ zum Erfolg führe. Offenbar wird über ein auf die Cloud-Dienste zugreifendes Gerät ein Authentifizierungsschlüssel gesichert, der sich auch für erneute Zugriffe verwenden lässt.
Apple schließt Möglichkeit nicht aus
Apple hat auf Anfrage der Financial Times mitgeteilt, dass iOS „die sicherste und am besten gesicherte Computerplattform der Welt“ sei. Es sei zwar denkbar, dass sich mithilfe einiger teurer Werkzeuge gezielte Angriffe auf eine sehr kleine Anzahl von Geräten auszuführen lassen, man glaube jedoch nicht, dass diese im großen Stil für Angriffe auf Nutzer zu verwenden sind.
Pegasus hat im Apple-Umfeld zuletzt vor drei Jahren von sich Reden gemacht. Damals wurde offengelegt, dass die Software über Jahre hinweg umfassenden Zugriff auf iOS-Geräte gewährt hat. Apple hat die Lücke nach Bekanntwerden beseitigt.
„Verantwortungsbewusste Regierungen“?
Dann dürfen die USA es schon mal nicht haben :-)
„Verantwortungsbewusste Regierungen“? Das ist doch ein Oxymoron
Governmental Use mit Regierungen zu übersetzen ist schon eine krasse Vereinfachung.
Wenn ein „Goverment“ das nutzt, sind es Stellen, welche in der Regel Regierungen repräsentieren. Oder was meinst Du mit vereinfachen?
Wusste garnicht, das iOS als „Computerplatform“ bezeichnet wird. Hoffentlich kann Apple dies auch von macOS behaupten….
Ok….im Internet vorher lesen macht schlau. Sind alles Computerplattformen.
Taschen-Computer.
Das ist ja ein Ding!
Und sie brauchen dann immer noch mein Passwort und die 2 Wege Authentifizierung? Oder hacken sie die Apple Server?
„Offenbar wird über ein auf die Cloud-Dienste zugreifendes Gerät ein Authentifizierungsschlüssel gesichert […]“
Aus Apple ID, Passwort und 2-Faktor-Autorisierung wird dieser Authentifizierungsschlüssel generiert, mit dem dann auf Apple Server zugegriffen werden kann.
Folglich sollte ein regelmäßiges ändern des AppleID-Passworts die Schlüssel immer wieder ungültig werden lassen…?
Ich denke, wer meint irgendetwas im Zusammenhang mit Computer, insbesondere in Verbindung mit Cloud sei „absolut sicher“ unterliegt einer Selbsttäuschung.
In der Tat ist aber die Tatsache, dass Staaten selbst aktiv nach Sicherheitslücken suchen und insbesondere auch von privat suchen lassen eine zusätzliche Gefährdung.
Denn es kann nie völlig ausgeschlossen werden, dass diese Instrumente dann in kriminelle Hände gelangen.
Andererseits: wer würde ernsthaft der Polizei verbieten, Werkzeuge zu entwickeln, kaufen, nutzen, um z.B. Türen aufzubrechen?
Wir müssen uns vermutlich einfach dran gewöhnen, dass die Digitalisierung auch viele Schattenseiten hat und mitnichten alles „einfacher und sicherer“ macht.
Genau!
Themawechsel, wer hat was zum Grillen besorgt?
Sicherheit ist ein Prozess kein Zustand.
Was heute ein gezielter Angriff auf einige wenige Geräte ist, ist morgen ein automatisiertes Tool, dass sich mit minimalen Aufwand auf tausenden Geräten verbreitet.
Deswegen ist es wichtig, stets alle Geräte aktuell zu halten um es den Angreifern stets so schwer wie möglich zu machen. Im Umkehrschluss funktioniert das aber nur, solange Bugs auch an Softwarehersteller gemeldet werden und diese ebenjene Zügig adressieren. Wenn es aber verantwortungsvolle Regierungen wie Saudi Arabien gibt, die selber gerne ihre kritischen Journalisten hacken wird der Wert einer Sicherheitslücke auf dem Schwarzmarkt in die Höhe getrieben und es kommt unter Umständen viel später oder garnicht zum Stopfen der Sicherheitslücken. Mit verheerenden Folgen für alle und nicht bloß für Kriminelle (wie es uns auch die Bundesregierung gerne glauben lassen möchte)
Trojaner wie Wannacry (der sich nur durch eine von der NSA zurückgehaltene und nicht an Microsoft gemeldete Lücke derart schnell ausbreiten konnte und derart schweren Schaden anrichten konnte sind) die Folge.
Staatstrojaner sind also ein Problem, dass jeden betrifft. Bedenkt dies, wenn ihr das nächste mal im Begriff seid CDU oder SPD zu wählen, welche uns durch Heiko Maas ganz unbemerkt einen Staatstrojaner in die dritte Lesung der Novelle der StPO geschmuggelt Haben, um diese dann ohne öffentliche Diskussion abzunicken.
So ist es!
Ich fühle mich bei Apple aber immer noch am besten aufgehoben.
Das so öffentlich zu bewerben ist natürlich schon dreist.
Sorgen bereitet mir eigentlich besonders die komfortable Passwortspeicherung, die ja dann auch kompromittiert ist. Damn!
Wieso dreist? Wie soll Werbung denn sonst die Zielgruppe ansprechen? Wartest Du auf einen Werbesport mit Prominenz?
:-) dreist, weil die „Zielgruppe“ doch eigentlich recht überschaubar sein sollte. Da sollte eine E-Mail an die 5 „vertrauenswürdigen“ Regierungen ausreichen.
Oder geht es doch um Neukundengewinnung?
Die Frage ist ja wie kommen die dann an den Authentifizierungsschlüssel. Werden ja wahrscheinlich doch irgendwie das Passwort brauchen oder?
Sprech Apple:
„… gezielte Angriffe auf eine sehr kleine Anzahl von Geräten auszuführen lassen…“.
Na toll – da rächt sich wohl die inflationär eingesetzte Floskel Apple’s „kleine Anzahl von…“!
Wenn sie das dosierter einsetzten und nicht häufig auch bei Problemen/Ausfällen, die großflächig Nutzer zu betreffen scheinen ebenfalls gerne von „kleine Anzahl von Nutzern betroffen“ schreiben würden, hätte man ja jetzt einen potentiell beruhigenden Anhaltspunkt – aber so…..
Zumal die Geräte von Apple doch sehr homogen gebaut sind. Es können ja nur Lücken auf Hard- oder Softwarebasis bzw eine Kombination davon sein. Da die Komponenten der einzelnen Modelle nicht so stark variieren wird von einer Lücke wohl mehr als nur eine kleine Anzahl von Nutzer betroffen sein. Außer die Lücke nutzt eine sehr spezielle (bzw. Seltene) Konfiguration an Hard- und Software, was aber sehr unwahrscheinlich dürfte.
Ist doch nix neues. Kann Cellebrite schon lange.
Was? Dein iPhone knacken…?
„Eine sehr geringe Anzahl an Geräten..“
was das bei Apple bedeutet wissen wir ja nun …