© Apple, Samsung, Montage Futurezone

Apple vs. Google
12/29/2011

Security-Duell: Das Chromebook gegen das iPad

Auf dem Hacker-Kongress 28C3 ließen drei Security-Experten Apples iPad und Googles Chromebook sehr publikumswirksam gegeneinander antreten. Geprüft wurden die Geräte sowohl auf Hardware- als auch auch Software-Schwachstellen. Das Ergebnis fiel wenig überraschend aus.

von Jakob Steinschaden

Mit dem Duell “Apple vs. Google Client Platforms” konnten sich die Hacker Bruhns, FX und Greg von der Sicherheits-Firma "Recurity Labs" die Aufmerksamkeit des Publikums des 28. Berliner Chaos Communication Congress (28C3) sichern. Die drei Security-Experten ließen das iPad (Erläuterungen nicht gültig für iPad 2 oder iPhone) und das Chromebook gegeneinander antreten und wollten herausfinden, auf welchem Gerät die Daten des Nutzers besser aufgehoben sind. Eine Schnellumfrage im gesteckt vollen Saal mit einem Fassungsvermögen von 1000 Personen zeigte, dass die Gunst des Publikums leicht zu Google tendierte - insgesamt wurden den beiden Unternehmen aber generell keine großen Sympathien entgegengebracht.

Schwachstellen bei Apples iPad
Hacker FX führte durch die Sicherheitstechnik von Apples iPad. “Apple will ein konsistentes, flüssiges User-Interface und beschränkt die Möglichkeiten des Nutzers deswegen sehr stark.” Die Unternehmensstrategie sei, mit dem Verkauf von Hardware großen und schnellen Umsatz zu machen, und das würde man dem Gerät auch anmerken. “Die Daten zu schützen, ist nicht Teil des Geschäftsmodells”, so FX. Sicherheitsproblem Nummer Eins seien die Updates für Apps: Diese müssen von Apple immer genehmigt werden - hat ein Programm eine Sicherheitslücke, kann es wochenlang dauern, bis der Nutzer einen Fix dafür bekommt.

Hacker-Kollege Greg merkte weitere Sicherheitsprobleme am iPad an. “Sämtliche Daten auf dem Gerät werden nicht verschlüsselt, und es gibt keine App, die das kann.” Ein Eindringling könnte sich außerdem physisch Zugang zum Gerät verschaffen und dort sehr leicht beliebigen Code ausführen. Zudem sei der App Store anfällig für Phishing-Attacken: “Man kann den Kunden sogar dazu bringen, für den Trojaner zu zahlen, den er sich gerade herunterlädt”, erklärte Rubens - ein so genannter “Drive-by-Purchase-Download”. Mit einem gefälschten Login-Screen könne man dem Nutzer vorgaukeln, den App Store zu öffnen und dort eine manipulierte App zu kaufen, die in Folge etwa Nutzerdaten ausspioniert.

Lücken in Googles Chromebook

Google macht das Gros seines Umsatzes mit Werbung”, erläuterte FX. “Der Nutzer muss Google vertrauen, und deswegen werden die Daten stark gesichert.” So sei das Chromebook sehr restriktiv: Außer dem Chrome-Browser sei es nicht erlaubt, Fremd-Software auszuführen, außerdem sollten alle Daten in der Google-Cloud und nicht lokal gespeichert werden. “Chrome hat eine Geschichte als sehr stabiler, sicherer Browser”, so FX. “Die Firmware ist sehr schlau gemacht.” Allerdings seien OEM- und EFI-Partitionen nicht gut geschützt -  Einfallstore für fähige Hacker. Auch würde die Hardware, die von Herstellern wie Samsung oder Acer gebaut wird, Sicherheitslücken aufweisen und das Eindringen nicht ausschließen: Mit einem mechanischen Eingriff sei es möglich, die Kontrolle über ein Chromebook zu übernehmen.

Bemängelt wird von den drei Hackern auch der “Chrome Web Store“: So könnten eBanking-Trojaner leicht als Extensions getarnt werden. Ein großes Problem sei auch die Funktion “Google Sync”, die etwa Lesezeichen und Erweiterungen zwischen allen Chrome-Browsern des Nutzers synchronisiert. Wenn es ein Angreifer schafft, einen Chrome-Browser zu infiltireren, könne er über diese Funktion Schad-Software auf alle anderen Browser einschließlich jenem am Chromebook bringen. Sei der Angreifer einmal so weit vorgedrungen, erhalte er im Prinzip Zugriff auf sämtliche Daten des Nutzers, die mit dessen Google-Account verknüpft sind.

Kein Sieger, keine Empfehlung

Einen Gewinner wollten die Hacker in dem Duell nicht küren, kein Gerät sei wirklich sicherer als das andere. Sowohl bei Apples als auch bei Googles Gerät sei sowohl ein Eindringen via Hardware-Hack als auch via Software-Hack möglich. “Google ist es egal, wenn es einen Nutzer verliert, aber dir wird es nicht egal sein, wenn du alle deine Daten verlierst” so FX. Und weiter: “Wenn Apple deine Daten schützen wollen würde, würde es Verschlüsselung erlauben. Denen geht es nicht um die Sicherheit des Nutzers, sondern die eigene Sicherheit.”

Mehr zum Thema

  • Bugged Planet: Wiki durchleuchtet Überwacher
  • Schwachstellen-Scanner für Firmen-Netzwerke
  • Morozov: "Im Netz entsteht eine neue Ideologie"
  • Hacker entdeckt neue Lücke bei GSM-Handys
  • EU: Strengere Regeln für RFID gefordert
  • 28C3: Hacker-Kongress “hinter Feindeslinien”