iOS 9: Die 1 Million Dollar-Lücke
von caschy | 18 Kommentare
Das Interesse an Sicherheitslücken wächst stetig. Besonders Lücken im Mobilbereich haben es vielen Angreifern angetan, ist doch das Smartphone unser „persönlichster Computer“, der so viel von uns weiß. Viele haben sensible Inhalte auf ihren Smartphones und viele dieser Inhalte sind Angreifern bares Geld wert. Es ist ein lukrativer Markt, das Auffinden von Lücken wird oftmals gut bezahlt. Kurios: Es sind eben nicht die Anbieter von Angeboten (beispielsweise Google, Apple, Facebook, Microsoft und Co), die besonders gut für das Auffinden dieser Lücken zahlen – es sind die anderen.
So wurde der US-Behörde NSA bereits 2013 nachgesagt, dass diese Millionen Dollar in die Hand nimmt, um Informationen über Computerlücken zu erwerben – Wissen ist bekanntlich Macht. Ende September 2015 rief dann zerodium zu einem hochdotierten Wettbewerb auf: „The Million Dollar iOS 9 Bug Bounty“. Eine satte Million Dollar für denjenigen, der einen vordefinierten Exploit / Jailbreak für Apples mobiles Betriebssystem iOS 9 veröffentlicht. Das, nach Aussage der Sicherheitsexperten von zerodium, sicherste mobile Betriebssystem sollte also einmal kräftig unter die Lupe genommen werden – Ruhm und Ehre waren nicht genug – eine Million Dollar für den Finder sollten das Auffinden der Lücke versüßen und beschleunigen.
Diese gefundene Lücke (browserbasierter Jailbreak) solle nun weiterverkauft werden – an US-Kunden. Dass eine solche Summe bezahlt wird, sei ein Indiz für die Schwierigkeit, mit der diese Lücken in iOS zu finden sind – so zerodium-Gründer Chaouki Bekrar im Gespräch mit Motherboard zum Thema. Die Finder der Lücke haben offenbar diverse Lücken in Chrome und iOS gefunden, welche zusammengezogen ausreichten um den browserbasierten Jailbreak durchzuführen. Besucher einer speziell präparierten Webseite könnten sich wundern, wenn unbemerkt ihr iPhone einem Jailbreak unterzogen wird – was natürlich Tür und Tor für weitere Angriffe öffnen könnte.
Wie lange die Lücke allerdings offen bleibt ist fraglich – Chaouki Bekrar geht davon aus, dass sie in den kommenden Wochen oder Monaten geschlossen werden könnte. Er selber sieht in der Schwierigkeit, eine Lücke in iOS zu finden, übrigens etwas Gutes für Apple. Deren Sicherheitsaussagen seien nicht nur Marketing. Dennoch – und der „1 Million Dollar-Hack“ zeigt es – auch dieses System ist angreifbar – wie wahrscheinlich jedes andere auch.
Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
— Zerodium (@Zerodium) November 2, 2015
Persönliche Meinung dazu: Wir lesen jeden Tag von Sicherheitslücken in Windows, iOS, Android oder OS X. Manche dieser Lücken sind extrem schwer auszunutzen – selbst für Profis – andere wiederum könnten – nach Bekanntwerden der Vorgehensweise – auch von fortgeschrittenen Anwendern vielleicht ausgenutzt werden. Anbieter wie Apple, Microsoft, Google, Facebook und Co sollten vielleicht den Igel aus der Tasche nehmen und spezielle, schwerwiegende Lücken extrem lukrativ für die Finder entlohnen. Viele Kunden vertrauen auf die Unternehmen und die Sicherheit der vielleicht sensiblen Daten. Und Vertrauen ist etwas, was keine Firma so leichtfertig verspielen sollte.
Wird geladen ...
Der hohe Preis kommt meiner Meinung nach zustande, da diese Sicherheitslücke extrem gefährlich ist. Ein browserbasierter Jailbreak, wirklich???!!! Dadurch kann alleine durch den Besuch einer Website alles passieren.
@caschy:
Bzgl. deiner persönlichen Anmerkung: Das ist meiner Meinung nach gar nicht so einfach. Nehmen wir mal an die von dir genannten Unternehmen zahlen jetzt ordentlich, sogar so viel, dass es sich für Kriminelle nicht mehr lohnt, mehr zu zahlen. Dann kommt trotzdem mindestens die NSA um die Ecke und bieten aus Steuermitteln mehr Kohle. Sicherheitslücken bleiben offen, weil das in deren Interesse ist, und werden vielleicht parallel noch von anderen entdeckt. Da liegt meiner Meinung nach das größere Problem.
Als der BND so anfangen sollte gabs vom CCC eine Stellungnahme:
http://ccc.de/de/updates/2014/0days-an-den-bnd
Meines Wissens hat Apple kein bug bounty Programm, zahlt also nichts für das Auffinden von Sicherheitslücken.
Apple und Co haben doch jede Menge eigene Programmierer, die ihre Software ständig auf Probleme und Lücken hin testen. Warum sollten sie also Geld dafür an irgendwelche Hackergruppen ausloben?
@Macdefcom: Weil man dann nur für’s Finden bezahlen muss und nicht für’s Suchen. Das ist erheblich billiger als 5000 Leute anzustellen.
Nur durch den Besuch einer Website die totale Kontrolle über das iPhone übernehmen, das ist schon krass.
Der Gründer von Zerodium erklärte gegenüber Wired, dass er die technischen Details in Zukunft mit seinen Kunden teilen will. Diese stammen eigenen Angaben zufolge vorwiegend aus dem Rüstungs- und Finanzsektor; darunter sollen auch Regierungsorganisationen sein. Apple wolle man vorerst nicht informieren.
Bekrars alte Firma Vupen hat Zero-Day-Exploits unter anderem an die National Security Agency (NSA) verkauft.
Wer noch immer glaubt, dass US-Geheimdienste nicht sowieso jederzeit Zugriff haben auf jedes OS oder jede Cloud von US-Unternehmen, lebt wohl in einer Scheinwelt und schreibt jedes Jahr einen Brief an den Weihnachtsmann.
Der wirksamste Schutz (und ja, jeder Hirni weiß, dass nichts perfekt ist) ist noch immer OpenSource, das Schlimmste sind geschlossene Systeme, die dann noch gerne mit ihrer Pseudo-Sicherheit prahlen, um den DAUs ein schönes Gefühl von Sicherheit zu geben.
@brit
schlimmer sind nur die leute, die meinen schlauer als alle anderen zu sein.
warum haben eigentlich alle immer so viel angst vor den geheimdiensten und nicht vor den bösen buben, die die eigenen daten klauen und ausnutzen könnten.
Nun, HO, vielleicht muss man für diese Schlussfolgerung wirklich viel schlauer als du sein, aber eventuell liegt es daran (jetzt wirklich nur total geraten, weil diese Schlussfolgerung ja wirklich total abwegig ist, gelle), dass diese staatlichen Geheimdienste durch ihre Finanzierung durch Steuergelder im Vergleich zu halbkriminellen russischen/chinessischen Cracker-Kids über unbegrenzte Möglichkeiten verfügen, die diese im Staatsauftrag Tag für Tag nutzen.
„sicherste mobile Betriebssystem“
War das eigentlich ernst gemeint?
@brit
geheimdienste sind also dafür bekannt, dass die einem finanziell schaden wollen oder sonstigen unsinn mit den persönlichen daten anstellen, wie es hacker tun?
@cubei
du darfst gerne glauben dass android das sicherste betriebssystem ist.
Im Gegenteil. Apple’s iOS ist sogar das unsicherste mobile Betriebssystem mit den meisten Sicherheitslücken.
Apple’s iOS und Mac OS X führen regelmäßig die Listen mit den meisten Sicherheitslücken an. Und zwar mit Abstand. Mehr Lücken als andere Betriebssysteme. Sogar mehr Sicherheitslücken als Adobe’s Flash Player:
https://www.cvedetails.com/top-50-products.php?year=2015
@Halo
Netter Versuch.
Führen regelmässig die Listen an? Nur mal so aus Spass die ersten Plätze in den letzten Jahren:
2015: Internet Explorer, Linux Kernel, Chrome
2014: Linux Kernel, JRE, JDK
2012: Chrome, Firefox, Thunderbird
2011: Chrome, Webkit, Windows Server 2008
2010: Chrome, Linux Kernel, Safari
All Time Leader: Linux Kernel, also Android:
https://www.cvedetails.com/top-50-products.php?year=0
Was beweist das? Nichts. Schwachstellen sind nicht automatisch Sicherheitslücken die von Schadsoftware ausgenutzt wird, sondern Bugs die behoben werden müssen. Um diese Bugs auszunutzen muss man erst noch anderen Hürden nehmen. Auf OS X sind das zBsp. Sandboxing, Gatekeeper, ASLR, rootless, etc. Auf den anderen Systemen gibt die gleichen oder ähnliche. Wenn diese Bugs dann behoben sind werden sie in Form von Sicherheitsupdates veröffentlicht. Ein Standardprozess bei jedem OS oder App.
Sortiere die Listen mal nach Number of Exploits. Oder sieh sie dir genauer an. Bei OS X zBsp wird auch third party Software mitgezählt, wie NVIDIA Treiber, Adobe Reader, Java, etc.
Fazit: du bist ein Dummkopf und nur hier um zu trollen.
@Kalle
Kein netter Versuch. Mit deiner dummen Masche, hier immer jeden zu beleidigen und anzupöbeln, der was kritisches über deinen Lieblingshersteller Apple schreibt, bist du nur der jämmerliche iProll.
Übrigens führt sogar die US-Regierung die Apple-Systeme OS X und iOS offiziell als Spitzenreiter bei den Schwachstellen und Sicherheitslücken. Und auch in früheren Jahren wie 2014. Kann man z.B. in der Datenbank NVD (National Vulnerability Database) der US-Regierung nachlesen:
http://www.cnet.de/88145514/os-x-und-ios-spitzenreiter-bei-den-schwachstellen-2014/
Ich sehe du gehst auf keinen meiner Punkte ein (inkl. dem Bullshit und Unwahrheiten in deinem Kommentar), sondern postest einen Link den du nach 5 Sek Google gefunden hast. Bist und bleibst ein Troll.
@halo
mit zwei punkten solltest du dich beschäftigen…
1. eine schwachstelle ist nicht gleich ein ein schwerwiegendes sicherheitsproblem (wenn man nur die schwerwiegenden lücken betrachtet, sieht die statistik ganz anders aus). und es handelt sich oftmals um theoretische bedrohungen, die in der praxis kaum einen nutzer betreffen (zb. asiatische pornoseite>banner anklicken>fake appstore>verseuchte app von dort installieren) .
2. schwachstellen, die zeitgleich oder kurz nach bekanntwerden in der öffentlichkeit durch ein update gestopft werden und dann auch auf einem großteil der geräte zeitnah installiert werden, sind etwas ganz anderes als sicherheitslücken, die lange bestehen bleiben, weil die endgeräte kein update erhalten bzw die nutzer dieses nicht installieren.
ich habe in den it-abteilungen von zwei konzernen gearbeitet. dort wurde nur blackberry und iOS genutzt, wahrscheinlich weil die it-manager weniger ahnung hatten als du.
@HO
Darf ich fragen welche Lücke voraussetzt, dass der anzuklickende Banner auf einer asiatischen Pornoseite ist? Warum funktioniert es nicht über eine amerikanische Pornoseite?
Oder ganz dumm gefragt: Warum kann ein unschuldig aussehender Button auf einer deutschen Seite nicht zu dem Fake Appstore leiten?
Ich dachte auch dass man bei IOS nur über den offiziellen, kontrollierten Store Apps installieren kann. Wie funktioniert das dann mit den Fake Appstore?