Auch der VPN-Anbieter NordVPN nimmt sich den heutigen Black Friday zum Anlass, um eine Rabatt-Aktion ins Leben zu rufen. Im Rahmen eines exklusiven Deals erhält man dabei aktuell 2 Jahre lang eine sichere und verschlüsselte VPN-Verbindung mit 72% Rabatt. Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über ihre Sicherheit machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen. Damit bietet ein vollwertiges VPN auch noch einmal mehr Funktionen und Sicherheit als beispielsweise Apples Private Relay in iCloud+. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

Gestern hatte Apple bekanntgegeben, dass man die für die Entwicklung der Pegasus-Spyware verantwortliche NSO Group verklagt habe, da sich der Angriff gegen iPhone-Nutzer richtete und deren Sicherheit gefährde. Im Rahmen dieser Bekanntmachung kündigte Apple auch an, dass man Nutzer, die von einem solchen Angriff betroffen sind, hierüber informieren würde, ohne zu erklären, wie dies geschehen würde. In der gestern erschienenen Pressemitteilung erklärte Apple lediglich: "Apple benachrichtigt die geringe Anzahl von Nutzern, die, wie man festgestellt hat, möglicherweise von FORCEDENTRY betroffen sind. Jedes Mal, wenn Apple Aktivitäten feststellt, die auf einen staatlich geförderten Spionageangriff hindeuten, wird Apple betroffene Nutzer gemäß den branchenbesten Verfahren benachrichtigen." Auch diesen Punkt hat man nun jedoch über die Veröffentlichung eines neuen Support Dokuments aufgeklärt.

Apple weist darauf hin, dass man die Nutzer niemals dazu auffordern wird, Apps herunterzuladen oder Links in Mails oder iMessages anzuklicken. Aus diesem Grunde sollten sich Nutzer, die eine entsprechende Benachrichtigung erhalten, mit ihrer Apple ID auf dem Webportal anmelden, um dort zu überprüfen, ob diese Benachrichtigung tatsächlich von Apple stammt.

Zudem gibt Apple zu bedenken, dass es aufgrund der Komplexität der Situation auch Falschmeldungen geben könne und manche Angriffe auch nicht entdeckt werden. Man werde jedoch weiter mit Hochdruck daran arbeiten, die eigenen Abwehr- und Erkennungsmaßnahmen zu verbessern, um die Sicherheit seiner Nutzer zu gewährleisten.

Unabhängig davon, ob man von einem Pegasus-Angriff betroffen ist, empfiehlt Apple allen Nutzern die folgenden Maßnahmen, um ihre Geräte vor einem Spyware-Angriff zu schützen.

• Stets die aktuellste iOS-Version nutzen.
• Das Gerät mit einer PIN schützen.
• Ein starkes Passwort und die Zwei-Faktor-Authentifizierung für die Apple ID? verwenden.
• Apps ausschließlich aus dem AppStore installieren.
• Auch bei Onlinediensten starke und individuelle Passwörter verwenden.
• Nicht auf Links oder Anhänge in E-Mails von unbekannten Absendern klicken.

Die Pegasus-Spyware hat in den vergangenen Monaten eine Menge Schlagzeilen produziert. Eingesetzt von verschiedenen Regierungen und Behörden war es mit ihr möglich, Schwachstellen in Apple Music und iMessage auszunutzen, um sich hierdurch Fernzugriff auf ein angegriffenes iPhone zu verschaffen, was offenbar auch durchaus großflächig geschehen ist. Heute nun hat Apple in einer Pressemitteilung bekanntgegeben, dass man die israelische NSO Group, die die Pegasus-Software entwickelt hat und auch vertreibt, verklagt hat, um sie für die Überwachung von und den gezielten Angriff auf Apple Nutzer zur Verantwortung zu ziehen.

Neben der Klage gegen die NSO Group beantragt Apple außerdem eine dauerhafte Verfügung, die dem israelischen Unternehmen die künftige Nutzung jeglicher Software, Services oder Geräte von Apple untersagt. Apples Software-Chef Craig Federighi erklärt dazu:

"Staatlich geförderte Akteure wie die NSO Group geben Millionen von US-Dollar für ausgeklügelte Überwachungstechnologien aus, ohne dass eine wirksame Rechenschaftspflicht besteht. Das muss sich ändern. Apple-Geräte sind die sicherste Consumer-Hardware auf dem Markt – aber private Unternehmen, die staatlich geförderte Spionagesoftware entwickeln, sind noch gefährlicher geworden. Obwohl diese Bedrohungen der Cybersicherheit nur eine sehr geringe Anzahl unserer Kunden betreffen, nehmen wir jeden Angriff auf unsere Anwender sehr ernst und arbeiten kontinuierlich daran, die Maßnahmen zum Datenschutz und der Privatsphäre in iOS zu verbessern, um alle unsere Nutzer zu schützen."

Apple hatte bereits mit den iOS-Versionen 14.6 und 14.8 Maßnahmen gegen Pegasus eingeführt und die ausgenutzten Sicherheitslücken gestopft. So wurde beispielsweise mit iOS 14.8 die FORCEDENTRY-Lücke gestopft, über die die Spyware per iMessage auf das iPhone geladen werden konnte, um dort Zugriff auf die Kamera, das Mikrofon, Textnachrichten, E-Mails, Telefongespräche und weitere Inhalte zu ermöglichen. Auch das deutsche BKA hatte sich die Pegasus-Spyware beschafft und im März vergangenen Jahres gegen Terroristen und das organisierte Verbrechen eingesetzt.

Auch mit iOS 15 hat Apple verschiedene neue Sicherheitsmechanismen implementiert, um das Eindringen von möglicher Spyware auf dem iPhone zu verhindern. Man kann allerdings davon ausgehen, dass man auch bei der NSO Group in der Zwischenzeit nicht untätig gewesen ist und nach weiteren Lücken gesucht hat. Ivan Krsti?, Head of Apple Security Engineering and Architecture erklärt:

"Bei Apple arbeiten wir kontinuierlich daran, unsere Nutzern selbst vor den komplexesten Cyberangriffen zu schützen. Die Schritte, die wir heute unternehmen, senden eine klare Botschaft aus: In einer freien Gesellschaft ist es inakzeptabel, mächtige staatlich geförderte Spionagesoftware gegen diejenigen einzusetzen, die die Welt verbessern wollen. Unsere Teams zur Erkennung und Entwicklung von Maßnahmen gegen Cyberangriffe arbeiten rund um die Uhr daran, neue Bedrohungen zu analysieren, Schwachstellen schnell zu beheben und branchenführende neue Schutzmechanismen für unsere Software und unsere Chips zu entwickeln. Die Sicherheitstechnologien von Apple gehören zu den am weitest entwickelten auf der ganzen Welt, und wir werden weiterhin unermüdlich daran arbeiten, unsere Nutzer vor Missbrauch durch staatlich geförderte Akteure wie die NSO Group zu schützen."

Zusätzlich zu der eingereichten Klage hat Apple angekündigt, zehn Millionen US-Dollar sowie den etwaigen Schadenersatz aus der Klage gegen die NSO Group an Organisationen zu spenden, die sich mit der Erforschung von und dem Schutz vor Cyberüberwachung beschäftigen. Außerdem wird man auch weiterhin die Forscher des Citizen Labs, einer Forschungsgruppe an der Universität Toronto, die die FORCEDENTRY-Lücke entdeckt hatte, mit kostenloser Technik, bei der Aufklärung von Bedrohungsszenarien sowie mit technischer Hilfe bei ihrer unabhängigen Forschungsarbeit unterstützen und gegebenenfalls anderen Organisationen, die in diesem Bereich wichtige Arbeit leisten, dieselbe Unterstützung anbieten.

Das Thema Cyber Security ist gefühlt seit Jahren ganz oben auf der Agenda vieler Unternehmen und Menschen. Und dass die Einschläge in Sachen Gefahr näher kommen, zeigt auch das aktuelle Beispiel der Media-Saturn-Gruppe, die Opfer einer Ransomware-Attacke geworden sind. Gegenüber BleepingComputer bestätigte der Konzern nicht nur den Angriff selbst, sondern auch die Lösegeldforderung der Angreifer in Höhe von rund 200 Millionen Euro. Wie die Kollegen berichten, nutzten die Angreifer die Ransomware Hive, um verschiedene Systeme der Elektromarktkette in Deutschland und den Niederlanden zu verschlüsseln. Betroffen sind offenbar sämtliche Computer und Kassensysteme in den Filialen, nicht jedoch die Onlineshops von MediaMarkt und Saturn. Obwohl auch die Kassen von dem Angriff betroffen sind, wird der Verkauf in den Filialen aktuell fortgesetzt, der Konzern weist jedoch darauf hin, dass es unter Umständen zu Einschränkungen kommen kann.

In Zeiten, in denen noch mehr online geschieht als ohnehin schon, möchte ich noch einmal das Thema VPN auf die Agenda hieven. Der von mir bevorzugte Anbieter ist nach wie vor NordVPN, den die meisten meiner Leser inzwischen sicherlich kennen dürften. Ich nenne ihn immer mal wieder zwischendurch im Rahmen von Rabattaktionen oder im Zusammenhang mit thematisch passenden Inhalten, mit denen sich die NordVPN-Produkte wunderbar nutzen lassen. Das bekannteste Produkt ist dabei sicherlich der VPN-Dienst, zu dem es aktuell mal wieder eine interessante Promo-Aktion gibt. Im Rahmen eines (vorgezogenen) "Black Friday"-Deals erhält man dabei aktuell 2 Jahre lang eine sichere und verschlüsselte VPN-Verbindung mit 72% Rabatt PLUS 3 Monate gratis VPN obendrein.

Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über ihre Sicherheit machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen. Damit bietet ein vollwertiges VPN auch noch einmal mehr Funktionen und Sicherheit als beispielsweise Apples Private Relay in iCloud+. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

Die aktuell im Zusammenhang mit Apples AirTags entdeckte Schwachstelle zeigt mir einmal mehr, dass ich nicht als Hacker tauge. Auf eine solche Idee, wie sie aktuell von den Sicherheitsexperten von KrebsOnSecurity präsentiert wird, wäre ich nämlich im Leben nicht gekommen. Für den Fall, dass man einen AirTag verliert und dieser von einem ehrlichen Mitmenschen gefunden wird, hat dieser die Möglichkeit, den AirTag mit seinem iPhone zu scannen, woraufhin er auf eine speziell generierte URL geleitet wird, auf der der Besitzer ihm Kontaktinformationen wie eine Telefonnummer oder eine E-Mail Adresse bereitstellen kann. Diese Webseite ist der Einfachheit halber nicht mit irgendwelchen Zugangsdaten geschützt.

Laut KrebsOnSecurity kann ein Angreifer allerdings Schadcode in die erzeugte Webseite einschleusen, so dass diese sich quasi als gefakte iCloud-Webseite präsentiert, auf der der Finder dann dazu verleitet sein könnte, seine Zugangsdaten einzugeben, die dann wiederum von dem Angreifer ausgelesen werden können. Im Prinzip also eine Art Fishing-Angriff. Entdeckt hat diese Möglichkeit der Sicherheitsforscher Bobby Raunch, der Apple auch bereits am 20. Juni auf das Problem aufmerksam gemacht hat. In der Vergangenheit meldete sich das Unternehmen dann bei Rauch und erklärte, dass man das Problem mit einem kommenden Softwareupdate beheben werde. In der Zwischenzeit wurde der Sicherheitsforscher gebeten, die entdeckte Lücke nicht öffentlich zu machen.

Nachdem Rauch bei Apple nachfragte, ob ihm durch die Meldung über das "Bug Bounty Program" eine Belohnung zustehe, hörte er bislang nichts weiter aus Cupertino, weswegen er die Lücke nun doch öffentlich machte:

"I told them, 'I'm willing to work with you if you can provide some details of when you plan on remediating this, and whether there would be any recognition or bug bounty payout. Their response was basically, 'We'd appreciate it if you didn't leak this.'"

Damit ist die Lücke der nächste Fall von öffentlich gewordenen Sicherheitsproblemen in Apple-Systemen in den vergangenen Wochen. In der Szene regt sich zunehmend Unmut gegenüber Apple, der sich vor allem an der mangelhaften Kommunikation und der langsamen Reaktion im Rahmen des "Bug Bounty Programs" festmacht.

Bereits kurz nach der Veröffentlichung von iOS 15 meldete sich der Sicherheitsforscher Denis Tokarev zu Wort und kritisierte Apple dafür, dass man gleich mehrere sogenannte "Zero-Day" Sicherheitslücken unbearbeitet ließ, die Tokarev an das Unternehmen gemeldet hatte. Dem Sicherheitsforscher zufolge hatte er dies bereits vor Monaten getan und sei von Apple dafür konsequent ignoriert worden. Nachdem er die Lücken nun öffentlich gemacht hat, hat sich Apple doch noch bei ihm gemeldet, wie er den Kollegen von Motherboard verriet. Offenbar braucht es inzwischen immer erst eine gewisse mediale Aufmerksamkeit ehe man sich in Cupertino rührt. In einer Mail an Tokarev entschuldigt sich Apple für die ausgebliebene Kommunikation und erklärt, dass man die Probleme noch immer untersuche.

"We saw your blog post regarding this issue and your other reports. We apologize for the delay in responding to you. We want to let you know that we are still investigating these issues and how we can address them to protect customers. Thank you again for taking the time to report these issues to us, we appreciate your assistance. Please let us know if you have any questions."

Unter anderem besteht nach wie vor eine Sicherheitslücke im Zusammenhang mit Game Center in iOS 15, durch die eine installierte App auf die komplette Apple ID, den Namen, die Kontakte und weitere Inhalte auf dem Gerät Zugriff erlangen kann. Da sich Apple auf seine Hinweise hin nicht rührte, hatte Tokarev die Lücken öffentlich gemacht. Die Meldungen zu den entdeckten Bugs hatte er dabei bereits zwischen März und Mai bei Apple eingereicht, so dass man dort Monate Zeit hatte, sich um die Behebung zu kümmern. Zugegebenermaßen sind die Lücken allerdings nicht unmittelbar kritisch, da gleich mehrere Voraussetzung für ihre Ausnutzung erfüllt sein müssen.