Update zum Backdoor-Problem: Apple begründet jetzt noch detaillierter mit einem Support-Dokument, warum der Entwickler Systemdienste in seine Betriebssysteme integriert hat. Am Wochenende kritisierte ein Sicherheitsforscher die Hintertüren in iOS scharf.
iOS 7
Original-Beitrag vom 22. Juli, 11:29 Uhr
Am Wochenende warnte der Sicherheitsforscher Jonathan Zdziarski vor Hintertüren in iOS , die besonders für Sicherheitsbehörden interessant seien. Apple hat in einer Stellungnahme erklärt, niemals mit irgendeiner Regierungsbehörde zusammengearbeitet zu haben.
Auf der Hacker-Konferenz HOPE (Hackers on Planet Earth) sprach Zdziarski über iOS. Generell lobte er Apples Bemühungen, die Sicherheit seines Systems zu gewährleisten. So sei es Hackern nur schwer möglich, Zugang von außen auf iPhones und iPads zu finden.
Allerdings wies Zdziarski während seiner Präsentation auf mehrere Systemdienste hin, die aus Sicherheitsgründen äußerst kritisch zu betrachten sind. Um aus diesen Diensten sensible Informationen auszulesen, ist das einmalige Verbinden des iPhones mit einem Rechner erforderlich.
Apples Systemdienste bieten Schlupflöcher
Einer der Dienste ist com.apple.mobile.file_relay , der im Hintergrund des Systems läuft und seit iOS 2 (damals noch iPhone OS) fester Bestandteil ist. Er ignoriert die systemeigene Verschlüsselung und häuft zahlreiche wertvolle Informationen an. Darunter fallen beispielsweise Daten der Sprachnachrichten, Notizen und des Adressbuchs.
Ebenfalls kritisch ist der Dienst com.apple.pcapd . Dieser ist automatisch auf jedem iOS-Gerät aktiv und sammelt Daten im HTTP-Standard. Über das WLAN ist es somit möglich, einen Nutzer auszuspähen.
Außerdem bemängelt Zdziarski, dass Apples Hintergrunddienste, die in erster Linie für Unternehmen konzipiert sind, ebenfalls Schlupflöcher für Dritte bieten. So hätten sich in der Vergangenheit bereits einige Firmen diese Lücken zunutze gemacht und Spyware auf das Gerät geladen. Dies war möglich, in dem sie die Software als Sicherheitszertifikat tarnten. Behörden sei es dadurch möglich, Verdächtige zu überwachen. Auch er selbst hat eine solche Spyware programmiert. Inzwischen hat Apple diese Lücke aber bereits geschlossen.
Apple weist Vorwürfe zurück
Apple äußerte sich zu diesen Äußerungen Zdziarskis. In einer Stellungnahme bestreitet das Unternehmen zwar nicht die Existenz dieser Schnittstellen, erklärt allerdings, dass diese für Entwickler, Unternehmen und den Support gedacht sind, um notwendige Informationen zu erhalten. Weiterhin weist Apple daraufhin, dass man zunächst via USB-Verbindung einem Computer vertrauen muss, damit entsprechende Daten dorthin übermittelt werden. Im letzten Satz betont Apple erneut, niemals mit Regierungsbehörden zusammengearbeitet zu haben, um Backdoors einzubauen.
Das komplette Statement von Apple:
We have designed iOS so that its diagnostic functions do not compromise user privacy and security, but still provides needed information to enterprise IT departments, developers and Apple for troubleshooting technical issues. A user must habe unlocked their device and agreed to trust another computer before that computer is able to access this limited diagnostic data. The user must agree to share this information, and data is never transferred without their consent. As we have said before, Apple has never worked with any government agency from any country to create a backdoor in any of our products or services.
Für Jonathan Zdziarski ist diese Erklärung nur unzureichend. Er bemängelt auf seinem Blog , dass sich diese vielfältige Vermittlung von Informationen nirgends deaktivieren bzw. regulieren lässt und der Nutzer außerdem nur unzureichend informiert wird.
Update: In einem Support-Dokument geht Apple noch einmal auf die erwähnten Dienste ein und erklärt im Einzelnen, wofür sie gedacht sind. Damit versucht das Unternehmen durchaus glaubwürdig das Misstrauen aus dem Weg zu räumen und betont erneut, dass die Dienste für den Support, sowie für Entwickler und Unternehmen wichtig seien.
Dennoch bleibt die Kritik bestehen. Auch wenn Apple die Dienste für andere Zwecke integriert hat, besteht damit die Möglichkeit, Nutzerdaten für andere Zwecke zu missbrauchen. Allerdings wird deutlich, wie sehr Apple bemüht ist, alle Zweifel an einer Zusammenarbeit mit Sicherheitsbehörden aus der Welt zu räumen. Innerhalb kurzer Zeit reagierte das Unternehmen zwei Mal auf diese Thematik. So auskunftsfreudig war man in Cupertino schon lange nicht mehr.
Titelbild via shutterstock
January 12,2022 Post by :Luka Müller