Wie Apples Geiz zum Sicherheitsrisiko wird
Dieser Artikel ist älter als ein Jahr!
Es war ein einzigartiger Wettbewerb, den das Sicherheitsunternehmen Zerodium Mitte September öffentlich ausgerufen hat. Eine Million Dollar wurde für jene Person oder jenes Team ausgelobt, dass einen funktionierenden Jailbreak für Apples mobiles Betriebssystem iOS liefert.
Wichtigste Bedingung dabei: der Jailbreak muss durch den Aufruf einer manipulierten Webseite über Safari oder Chrome ausgeführt werden und die System-Modifizierung muss dabei heimlich geschehen. Knapp eineinhalb Monate später wurde der Wettbewerb durch Zerodium beendet und die Belohnung tatsächlich an ein erfolgreiches Team ausbezahlt.
Im Bett mit der NSA
Für Apple und seine Nutzer stellen Wettbewerbe wie diese eine Gefahr dar. Denn Zerodium ist keine Sicherheitsunternehmen, dessen primäres Interesse in der Sicherheit des allgemeinen Internet- bzw. Smartphone-Nutzers liegt. Zu den Kunden der Firma zählen vor allem Regierungen, auch die NSA soll regelmäßig bei Zerodium einkaufen.
Gegenüber dem Online-Portal Wired hat der Gründer von Zerodium, Chaouki Bekrar, bereits bestätigt, dass er die Details der iOS-Lücke seinen Kunden anbieten wird. Vor allem für Geheimdienste ist die stille Installation eines Jailbreaks auf iOS-Geräten Gold wert. Denn einen wirklichen Schutz gegen diese Art von Angriff gibt es nicht.
Theoretisch reicht dann der Besuch einer mit Schadcode versehenen Webseite aus, um das Betriebssystem einer Zielperson klammheimlich zu infizieren. Ist das Gerät erst geknackt, können dann auch Anwendungen installiert werden, die nicht verifiziert wurden. iOS-Geräte könnten dann beispielsweise vollständig abgehört oder gar komplett lahmgelegt werden, ohne, dass der Benutzer es bemerkt.
Google und Facebook als Vorreiter
Dass ein Wettbewerb wie jener von Zerodium in relativ kurzer Zeit erfolgreich endete, liegt vor allem an Apple selbst. In den letzten Jahren hat sich ein enormer und äußerst lukrativer Markt für Sicherheitslücken entwickelt. Mit dem Finden und Verkaufen von Bugs lässt sich viel Geld verdienen. Und dass Zerodium überhaupt ein Preisgeld von einer Million Dollar bieten konnte ist vor allem der Tatsache geschuldet, dass Geheimdienste für Tools dieser Art ein Vielfaches der Summe bezahlen.
Um zu verhindern bzw. das Risiko zu minimieren, dass Unternehmen wie Zerodium die eigenen Nutzer an unterschiedliche Regierungen aus der ganzen Welt ausliefert, betreiben viele Technologie-Unternehmen mittlerweile eigene Bug-Bounty-Programme. Facebook kauft Hackern seit 2011 sicherheitsrelevante Bugs vereinzelt für bis zu 100.000 Dollar ab. Dabei wurden laut Angaben von Facebook alleine im Jahr 2014 insgesamt drei Millionen US-Dollar ausbezahlt.
Auch Microsoft, Mozilla oder Google investieren teils enorme Beträge, um von Hackern gemeldete Bugs anzukaufen. Letzterer Technologie-Gigant betreibt mit Google „Project X“ sogar eine Art Abteilung, die sich nur auf die Jagd nach Schwachstellen in Computer-Systemen macht.
Apple pfeift auf Bugs
Genau in diesem Punkt fällt Apple von den seinen Mitstreitern in der Branche deutlich ab. Für sicherheitsrelevante Lücken bezahlt der Konzern aus Cupertino nämlich keinen Cent. Wer an Apple Bugs ausliefert, bekommt nicht mehr als eine Erwähnung in den „Security Notes“.
Das Fehlen eines Bug-Bounty-Programmes macht es für Hacker unattraktiv, an Apple zu liefern. Stattdessen profitieren Unternehmen wie Zerodium (und am Ende Geheimdienste), die für Sicherheitslücken Unsummen bezahlen und sich auch aufgrund von Apples „Geiz“ vor Bug-Angeboten kaum retten können.
Widerspruch der Philosophien
Was Bugs angeht verfährt Apple schon immer nach einem Prinzip: man wird uns schon informieren und das gefälligst kostenlos. Der Apfel-Konzern befindet sich damit im Widerspruch mit jener Firmenphilosophie, die CEO Tim Cook erst vor kurzem nochmals betonte.
Während Dienste wie iMessage oder iCloud streng verschlüsselt werden und selbst das FBI an dem Sicherheitslevel von iOS öffentlich verzweifelt, werden Nutzer quasi über die Hintertür ausgeliefert. Denn das Gros der besonders sicherheitsrelevanten Bugs landet schon lange nicht mehr direkt bei Apple.
Für den Konzern, der laut dem letzten Quartals-Bericht auf Bar-Reserven von rund 203 Milliarden Dollar sitzt, sollte es eigentlich kein Problem sein, ordentliche Bug-Bounties zu bezahlen, um die Sicherheit seiner Kunden zu gewährleisten bzw. auf ein höheres Level zu hieven.
Negative Berichte als Antrieb
Die Hoffnung besteht, dass Apple zumindest in naher Zukunft seine Einstellung zum Ankauf von Bugs ändert. Die Berichterstattung über das erfolgreiche Bounty-Programm von Zerodium kann den Kaliforniern nicht gefallen haben. Und gerade für einen Konzern wie Apple sollte es ein Leichtes sein, ein attraktives Sicherheitsprogramm für Hacker zu bieten und zu finanzieren. Zwar wird das NSA und Co. wohl kaum aufhalten, zur Sicherheit des Betriebssystems würde es aber zweifellos beitragen.
Kommentare