Vor einigen Tagen wurde bekannt, dass sich offenbar verschiedene Organisationen die sogenannte Pegasus-Software der israelischen Sicherheitsfirma NSO Group besorgt haben, um sie dafür einzusetzen, zahlreiche Journalisten, Aktivisten und Regierungskritiker auszuspionieren und zu verfolgen. Grundsätzlich war die Software dafür gedacht, Sicherheitsbehörden Zugang zu den Handys von Verbrechern und Terroristen zu gewähren, um dort Beweise und weitere Informationen sicherzustellen. Zu Tage gefördert haben dies Recherchen verschiedener Nachrichtenorganisationen. Auf der anderen Seite wehrt sich Apple seit Jahren dagegen, dass die eigenen Geräte und Software mit einer Hintertür für Strafverfolgungsbehörden ausgestattet werden, damit auf diese Weise Verbrecher und Terroristen gejagt werden und deren Handys ausspioniert werden können. Grund ist vor allem der, das man befürchtet, diese Hintertüren könnten auch für andere als die angegebenen Zwecke ausgenutzt werden. Diese Befürchtung Befürchtungen haben sich durch "Pegasus" nun Bewahrheitet.

Bei der NSO Group, den Entwicklern von Pegasus, weist man sämtliche Schuld von sich und verweist darauf, dass man ausschließlich mit Sicherheitsbehörden zum Zwecke der Strafverfolgung und Verbrechensbekämpfung zusammenarbeite. Sollte die Software zu anderen Zwecken eingesetzt werden, würde die Zusammenarbeit sofort beendet. Dies ist nach der öffentlichen Aufmerksamkeit, die das Thema in den vergangenen Tagen erhalten hat offenbar nun auch verstärkt geschehen.

So wurde in der vergangenen Woche von der Washington Post berichtet, dass die NSO Group bei fünf Regierungen die Nutzung der Pegasus-Software blockiert habe, nachdem man ein internes "human rights audit" durchgeführt hatte. Dabei soll es sich angeblich um Organisationen aus Saudi Arabien, Dubai und Mexiko gehandelt haben.

Nun berichtet NPR, dass man offenbar auch die Nutzung bei einer zweiten Welle von Organisationen gestoppt habe. Offensichtlich geschah dies auch auf verstärkten Druck der israelischen Regierung. Während unklar ist, um welche Organisationen aus welchen Teilen der Welt es sich hierbei handelt, sollen sie sich auf dem ganzen Globus befinden.

Seit Jahren wehrt sich Apple dagegen, dass die eigenen Geräte und Software mit einer Hintertür für Strafverfolgungsbehörden ausgestattet werden, damit auf diese Weise Verbrecher und Terroristen gejagt werden und deren Handys ausspioniert werden können. Grund ist vor allem der, das man befürchtet, diese Hintertüren könnten auch für andere als die angegebenen Zwecke ausgenutzt werden. Dass diese Befürchtung nicht unbegründet ist, zeigt der aktuelle Fall einer Spionagesoftware namens "Pegasus" der israelischen Sicherheitsfirma NSO Group, mit der zahlreiche Journalisten, Aktivisten und Regierungskritiker ausspioniert wurden.

Zu Tage gefördert haben dies Recherchen verschiedener Nachrichtenorganisationen, wie ihr sicherlich in den vergangenen Tage auch der allgemeinen Presse entnommen habt. Aus Deutschland waren an dieser Arbeit unter anderem der NDR, die Süddeutsche Zeitung und DIE ZEIT beteiligt. Dabei wurde entdeckt, dass die Software, die eigentlich für die oben genannten Zwecke konzipiert und vertrieben wurde, auch anderweitig und vor allem von autoritären und totalitären Regimen genutzt wird.

Während man sich bislang mit einem iPhone aufgrund der dort geltenden Sicherheitsmaßnahmen in diese Richtung für recht unangreifbar hielt, kam bei den Recherchen heraus, dass Pegasus auch auf den Apple-Geräten großflächig zum Einsatz kam. So hat das Amnesty International Security Lab insgesamt 37 iPhones ausfindig gemacht, auf denen die Software zum Einsatz kam. Diese nutzte dabei unter iOS 14.6 Sicherheitslücken in iMessage und Apple Music aus, um sich über einen sogenannten "Zero-Click-Angriff" unbemerkt auf den Geräten der betroffenen Nutzern zu installieren. Neben dem Ausspionieren der auf den Smartphones lagernden Informationen war Pegasus im vergangenen Jahr durch die angesprochenen Sicherheitslücken sogar in der Lage, sich Zugriff auf Mikrofon und Kamera der angegriffenen iPhones zu verschaffen.

Bei der NSO Group, den Entwicklern von Pegasus, weist man sämtliche Schuld von sich und verweist darauf, dass man ausschließlich mit Sicherheitsbehörden zum Zwecke der Strafverfolgung und Verbrechensbekämpfung zusammenarbeite. Sollte die Software zu anderen Zwecken eingesetzt werden, würde die Zusammenarbeit sofort beendet. Viel weiter möchte man sich in dem folgenden Statement gegenüber dem Guardian dann aber auch nicht in die Karten schauen lassen:

"NSO does not operate the systems that it sells to vetted government customers, and does not have access to the data of its customers' targets. NSO does not operate its technology, does not collect, nor possesses, nor has any access to any kind of data of its customers. Due to contractual and national security considerations, NSO cannot confirm or deny the identity of our government customers, as well as identity of customers of which we have shut down systems."

Auch Apple hat sich inzwischen gegenüber dem Guardian zu den Entdeckungen geäußert, verurteilt die Spionageangriffe auf die Smartphones von Journalisten, Aktivisten und Regierungskritikern und weist darauf hin, dass es genau diese Dinge seien, weswegen man sich gegen den Einbau von Hintertüren in seine Systeme sperrt:

"Apple unequivocally condemns cyber-attacks against journalists, human rights activists, and others seeking to make the world a better place. For over a decade, Apple has led the industry in security innovation and, as a result, security researchers agree ?iPhone? is the safest, most secure consumer mobile device on the market. [...] Attacks like the ones described are highly sophisticated, cost millions of dollars to develop, often have a short shelf life, and are used to target specific individuals. While that means they are not a threat to the overwhelming majority of our users, we continue to work tirelessly to defend all our customers, and we are constantly adding new protections for their devices and data."

Übrigens sind genau derartige Sicherheitslücken, wie sie von Pegasus ausgenutzt wurden der Grund, warum man nicht allzu lange mit dem Installieren von Updates auf seinen Geräten warten sollte. Hierin stecken nicht nur neue Funktionen, sondern vor allem auch Sicherheitsaktualisierungen, die derartige Lücken stopfen. Seit gestern Abend lässt sich iOS 14.7 auf allen unterstützten Geräten laden und installieren.

iOS/iPadOS 14.5 befindet sich inzwischen seit einigen Wochen im Betatest und wird bei seiner Veröffentlichung für alle Nutzer diverse neue Funktionen mitbringen. Doch auch unter der Haube werden wichtige Neuerungen eingeführt, die für den Nutzer nocht offensichtlich sind, die Sicherheit von iPhone und iPad jedoch erheblich verbessern werden. Wie die Kollegen von Motherboard berichten, wird Apple dabei seinen Quellcode besser gegen sogenannte "Zero-Click" Angriffe absichern. Diese Angriffe erfordern kein Zutun des jeweiligen Nutzers, wie beispielsweise das Anklicken eines Links in einer Phishing-Mail oder ähnliches.

Bereits in der Vergangenheit versucht Apple derartige Angriffe mithilfe von sogenannten Pointer Authentication Codes (PAC) zu unterbinden. Hierbei werden kryptografische Verfahren eingesetzt, um Pointer im Code zu authentifizieren und zu validieren, bevor sie ausgeführt werden. Eingeschleuster Schadcode sollte hierdurch unterdrückt werden. Hinzu gesellen sich sogenannte ISA-Pointer, die die Anweisungen an eine Anwendung übermitteln, welcher Code genutzt werden soll, wenn sie unter iOS ausgeführt wird. Mit iOS/iPadOS 14.5 wird Apple nun auch diese Pointer verschlüsseln und signieren, was es deutlich schwieriger machen wird, Zero-Click Angriffe auszuführen. Apple hat inzwischen gegenüber den Kollegen bestätigt, dass diese Maßnahme in der finalen Version des kommenden Updates enthalten sein wird.

Apple hat in der vergangenen Nacht eine aktualisierte Version seines Platform Security Guide [PDF] veröffentlicht, in dem man einen kompletten Überblick über sämtliche neuen Sicherheitsverbesserungen in iOS 14, iPadOS 14, macOS Big Sur, tvOS 14, watchOS 7 und seinen anderen digitalen Angeboten liefert. Aktuell steht der Guide nur in Englisch zur Verfügung. Es kann aber davon ausgegangen werden, dass die lokalisierten Versionen in Kürze ebenfalls bereitstehen. Unter anderem detailliert Apple in dem Bericht eine neue Funktion in Safari, die es ermöglicht, auf Webseiten verwendete und im iCloud Schlüsselbund gespeicherte Passwörter gegen eine Datenbank zu checken, in der Passwörter gepflegt werden, die bereits bei früheren Angriffen erbeutet wurden.

Aus dem Dokument geht ebenfalls hervor, dass künftig auf Macs mit Apple Silicon Prozessoren keine Kernel-Extensions mehr unterstützt werden. macOS Catalina war damit offiziell die letzte Version von macOS, die diese Erweiterungen vollumfänglich Unterstützt hat. Apple begründet die Streichung damit, dass die Kernel-Extension ein potenzielles Risiko für die Integrität und die Zuverlässigkeit des Betriebssystems darstellen.

Von Apple nicht großartig kommuniziert, brachte iOS 14 eine unter der Haube durchaus wichtige Neurerung für iMessage mit. Dabei handelt es sich um ein sogenanntes "BlastDoor" Sandbox-System, welches Angriffe über iMessage auf iPhones und iPads unterbinden soll. Während sich Apple hierzu nicht weiter äußerte, hat nun Samuel Groß, seines Zeichens Sicherheitsforscher in Googles Project Zero, einige Details dazu veröffentlicht (via ZDNet). Vereinfacht ausgedrückt handelt es sich bei BlastDoor um eine Sandbox-Funktion, die zunächst sämtliche unsicheren Daten in iMessage verarbeitet, ehe diese an die eigentliche App weitergeleitet werden. Zur Erinnerung: Eine Sandbox ist eine Sicherheitsmaßnahme, in der Code getrennt vom Betriebssystem ausgeführt wird, um das Hauptsystem hierdurch zu schützen. Grundsätzlich laufen unter iOS sämtliche Apps in einer eigenen Sandbox. Mit BlastDoor hat Apple nun eine eigene Sandbox innerhalb der iMessage-App eingeführt.

BlastDoor ist dabei die erste Instanz in iMessage, von der die Nachrichten entgegengenommen, inspiziert und geprüft werden. Hierdurch kann potenzieller Schadcode in Nachrichten nicht mit dem System interagieren oder auf Nutzerdaten zugreifen. Groß erklärt dies mit der unten eingebetteten Grafik und schreibt dazu:

Mit der Veröffentlichung von macOS Big Sur hatte Apple im vergangenen November eine neue Maßnahme eingeführt, für die man viel Kritik einstecken musste. So lieferte man eine neue Konfigurationsdatei namens "ContentFilterExclusionList" mit dem neuen Betriebssystem aus, über die gesteuert wird, dass verschiedene Apple-Apps, wie beispielsweise der App Store, FaceTime, der Software Update Dienst oder auch die Musik-App nicht durch lokale Firewalls geblockt oder auch deren Datenverkehr überwacht werden kann. Mit dem Update auf Big Sur Version 11.2, von der man gestern Abend die zweite Betaversion veröffentlicht hat, wird man diese Änderung nun wieder rückgängig machen. Die angesprochene Datei ist in der aktuellen Beta nicht mehr vorhanden.

Ans Tageslicht gekommen waren die Firewall-Sonerberechtigungen für Apple-eigene Apps durch die Probleme, die es beim Rollout von macOS Big Sur im November gab. In diesem Zusammenhang fielen verschiedene Apple-Server aus, wodurch diverse Apps nicht mehr nutzbar waren, da ihre Validität nicht überprüft werden konnte. Als Entwickler daraufhin versuchten, die Kontakierung der Server durch eine Firewall zu blockieren, bemerkten sie, dass dies bei verschiedenen Apple-Apps aufgrund der neuen Konfigurationsdatei nicht funktioniert.

Selbstverständlich stellt eine solche Maßnahme durchaus auch ein Sicherheitsrisiko dar, was auch verschiedene Beispiele aus der Hacker-Szene bereits verdeutlicht haben, in denen es gelungen ist, die Sonderregeln auszunutzen, um Firewallregeln zu umgehen.

Durch den Wegfall der Konfigurationsdatei in der zweiten Beta von macOS Big Sur 11.2 ist es auch Apple-Apps nun nicht mehr möglich, Firewalleinstellungen zu umgehen und werden somit wieder genauso behandelt, wie auch die Apps von AppStore-Entwicklern, wie der Sicherheitsforscher Patrick Wardle berichtet.

Omg we did it! ????

Thanks to the community feedback (and ya, bad press) Apple decided to remove the ContentFilterExclusionList (in 11.2 beta 2)

Means socket filter firewalls (e.g. LuLu) can now comprehensively monitor/block all OS traffic!!

Read more: https://t.co/GJXkRA31e7 https://t.co/BCPqdCjkV0

— patrick wardle (@patrickwardle) January 13, 2021

Apple hatte nach dem Aufkommen der Kritik an der Maßnahme in macOS Big Sur reagiert und sich seinerzeit nicht nur öffentlich entschuldigt, sondern auch Veränderungen angekündigt, um die Arbeit unter der Haube von macOS für den Nutzer transparenter und nachvollziehbarer zu machen. Das Entfernen der "ContentFilterExclusionList" dürfte nun eine erste Konsequenz aus dieser Ankündigung sein.

Im Juli hatte Apple ein neues Apple Security Research Device Program angekündigt, in dessen Rahmen Sicherheitsforscher spezielle iPhones von Apple erhalten können, auf denen sie die Sicherheit der Geräte und von Software testen können. Diese Geräte sind deutlich weniger eingeschränkt als die, die in den Handel kommen. Auf diese Weise wird es einfacher, mögliche Schwachstellen und Sicherheitslücken zu finden und diese an Apple zu melden, damit sie möglichst frühzeitig geschlossen werden können. Apple nennt diese Geräte "Security Research Device" (SRD), auf denen auch ein Shell-Zugriff auf die innersten Innereien des iPhone besteht. Seit der Ankündigung nimmt Apple Bewerbungen zu dem Programm entgegen und hat nun die ersten Sicherheitsforscher infomiert, dass sich die SRDs in Kürze auf den Weg zu ihnen machen (via MacRumors). Apple schreibt zu dem Programm:

If you use the SRD to find, test, validate, verify, or confirm a vulnerability, you must promptly report it to Apple and, if the bug is in third-party code, to the appropriate third party. If you didn't use the SRD for any aspect of your work with a vulnerability, Apple strongly encourages (and rewards, through the Apple Security Bounty) that you report the vulnerability, but you are not required to do so.

If you report a vulnerability affecting Apple products, Apple will provide you with a publication date (usually the date on which Apple releases the update to resolve the issue). Apple will work in good faith to resolve each vulnerability as soon as practical. Until the publication date, you cannot discuss the vulnerability with others.

Voraussetzung wenn man an dem Programm teilnehmen möchte, ist ein aktiver Entwickler-Account, sowie Erfahrung beim Aufspüren von Sicherheitslücken auf Apple-Plattformen. Direkt daran angedockt ist auch Apples "Bug Bounty Program", in dessen Rahmen Hacker und Sicherheitsforscher von Apple bis zu 1,5 Millionen US-Dollar erhalten können, wenn sie eine schwere Sicherheitslücke entdecken und diese an Apple melden.

In Zeiten, in denen noch mehr online geschieht als ohnehin schon, möchte ich noch einmal das Thema VPN auf die Agenda hieven. Der von mir bevorzugte Anbieter ist nach wie vor NordVPN, den die meisten meiner Leser inzwischen sicherlich kennen dürften. Ich nenne ihn immer mal wieder zwischendurch im Rahmen von Rabattaktionen oder im Zusammenhang mit thematisch passenden Inhalten, mit denen sich die NordVPN-Produkte wunderbar nutzen lassen. Das bekannteste Produkt ist dabei sicherlich der VPN-Dienst, zu dem es aktuell mal wieder eine interessante Promo-Aktion gibt. Im Rahmen eines "Black Friday"-Deals erhält man dabei aktuell 2 Jahre lang eine sichere und verschlüsselte VPN-Verbindung mit 68% Rabatt PLUS 3 Monate gratis VPN obendrein.

Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über ihre Sicherheit machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen, wie beispielsweise beim Zugriff auf Apples neues und vorerst nur in den USA verfügbares Apple Music TV. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).