Eine zuverlässige und sichere mobile Kommunikation ist ein Muss für jedes moderne Unternehmen, jede Behörde, jede NRO und jede andere Einrichtung. Derzeit ist die Auswahl im Wesentlichen auf die Android-Plattform von Google oder die auf iOS basierenden iPhones von Apple beschränkt. Auf den ersten Blick scheint das iPhone viel sicherer zu sein: Einschränkungen für Programme von Drittanbietern; der einzige strikt kontrollierte Marktplatz; nur ein Bruchteil der Malware, die man anderswo findet, … Aber lassen Sie uns genauer hinsehen, um herauszufinden, ob dies wirklich der Fall ist.
Ist iOS wirklich so sicher?
Nachrichten über Malware-Infektionen von Apple-Geräten gehören in den letzten Jahren zum Alltag, nicht zuletzt dank der „legalen Überwachungssoftware“ Pegasus. Da es sich bei den Opfern von Pegasus jedoch hauptsächlich um Aktivisten, Politiker und Journalisten handelte, betrachtete man die Bedrohung eher als eine urbane Legende – gemein, ja, aber so selten und zielgerichtet, dass die Chancen, ihr in der Realität zu begegnen, äußerst gering waren (es sei denn, man suchte nach ihr). Doch dann stand sie plötzlich auch vor unserer Tür: Im Juni dieses Jahres berichteten wir über einen Angriff auf das Management von Kaspersky, bei dem die Malware Triangulation zum Einsatz kam (auf dem kommenden Security Analyst Summit wollen wir übrigens eine detaillierte Analyse dieses Angriffs präsentieren; wenn Sie daran interessiert sind, sollten Sie dabei sein).
Unser Unternehmen – das heißt, ein privates Unternehmen -, das iPhones als Standardmittel für die mobile Kommunikation verwendet, wurde Opfer eines Angriffs. Nach einer gründlichen Untersuchung und der Veröffentlichung des Dienstprogramms triangle_check, das automatisch nach Infektionsspuren sucht, richteten wir eine Mailbox ein, an die sich Opfer ähnlicher Angriffe wenden konnten. Die E-Mails von anderen Apple-Nutzern, die ebenfalls Anzeichen einer Infektion auf ihren Geräten gefunden hatten, häuften sich. Glauben Sie uns – wir halten zielgerichtete Angriffe auf iPhones nicht mehr für Einzelfälle.
Trügerische Sicherheit
Paradoxerweise macht die oft wiederholte Behauptung, iOS sei zweifellos sicherer als Android, die Situation nur noch schlimmer. Das öffentliche Leugnen einer Bedrohung führt dazu, dass Nutzer ihre Aufmerksamkeit vernachlässigen und sich selbst einreden, kein Opfer einer Infektion werden zu können.
Sogar einige unserer Kollegen (denen die Informationssicherheit nicht fremd ist) wollten nicht glauben, dass sie Opfer von „Triangulation“ geworden waren. Selbst nach Bekanntwerden der Bedrohung mussten einige von ihnen erst dazu überredet werden, ihr iPhone auf Spuren der Malware zu untersuchen, und waren wirklich überrascht, dass sie ins Visier genommen worden waren.
Für einen solchen Hackerangriff kann es viele Gründe geben: Sie selbst müssen nicht einmal ein interessantes Zielobjekt sein, es reicht schon, wenn Sie mit einem Spitzenmanager oder Regierungsbeamten in irgendeinen Zusammenhang gebracht werden können. Manchmal reicht es auch, an bestimmten Meetings teilzunehmen oder sich einfach nur in der Nähe des eigentlichen Angriffsziels zu befinden. Dann stehen Sie plötzlich in der Schusslinie, weil wichtige Geschäftsinformationen über Ihr Gerät nach außen gelangt sind.
Das wahre Problem
Ein genauerer Blick auf den Schwachstellenmarkt (sei es in Darknet-Foren oder auf einer grauen Plattform wie Zerodium) zeigt, dass iOS- und Android-Exploits inzwischen ungefähr gleich teuer sind. Dies deutet darauf hin, wie der Angreifermarkt das Sicherheitsniveau dieser Systeme einschätzt. Manche Exploits für Android sind sogar teurer als für iOS. In jedem Fall sind beide Systeme als Angriffsziele denkbar.
Der eigentliche Unterschied liegt in der Verfügbarkeit von Tools zur Abwehr von Angriffen. Nutzen Angreifer die neueste Zero-Day-Schwachstelle aus, um die hochgelobten Sicherheitsmechanismen von Apple zu umgehen, können Sie nichts dagegen tun. Höchstwahrscheinlich werden Sie nicht einmal herausfinden, dass es überhaupt passiert ist. Angesichts der Systembeschränkungen wird es selbst für Top-Profis schwierig sein, herauszufinden, worauf die Angreifer genau aus waren. Ein Android-basiertes Smartphone hingegen kann mit einer umfassenden Sicherheitslösung ausgestattet werden – nicht nur mit einem Antivirenprogramm, sondern auch mit einer MDM-Lösung (Mobile Device Management), die die Fernverwaltung von Unternehmensgeräten ermöglicht.
Wenn man noch genauer hinsieht, stellt man fest, dass sich die angeblichen Vorteile von iOS im Falle eines Angriffs in Wirklichkeit als Nachteile herausstellen. Das geschlossene Ökosystem, das für Sicherheitsexperten von außen nicht zugänglich ist, begünstigt die Angreifer nur. Natürlich haben Apples Ingenieure einen ziemlich sicheren Schutz geschaffen: Nutzer können nicht versehentlich auf eine schädliche Website gelangen und z. B. eine trojanisierte APK herunterladen. Aber im Falle von iPhone-Hacks (die, wie die Praxis zeigt, durchaus im Bereich der Möglichkeiten raffinierter Angreifer liegen) können die Opfer nur hoffen, dass Apple selbst zur Hilfe eilt. Vorausgesetzt natürlich, dass das Unternehmen den Hack rechtzeitig entdeckt.
Das Ausmaß der Bedrohung
Auch das Argument, dass alle realen Angriffe auf iOS bisher Teil zielgerichteter Kampagnen waren, kann nicht beruhigen. Es ist allgemein bekannt, dass der EternalBlue-Exploit von einer Regierungsbehörde entwickelt wurde und für eine sehr begrenzte Anwendung gedacht war. Doch nachdem er von der Gruppe Shadow Brokers geleakt wurde, gelangte er in die Hände von Cyberkriminellen und wurde zur Durchführung des weltweiten WannaCry-Ransomware-Angriffs missbraucht.
Selbst Apples Marktplatz kann nicht mehr als unantastbar bezeichnet werden. Unsere Kollegen haben kürzlich eine Reihe von betrügerischen Apps im App Store gefunden, die unter bestimmten Bedingungen persönliche Daten der Nutzer ausspähten. Es handelt sich zwar noch nicht um eine massive Bedrohung, aber es ist ein Präzedenzfall: Apps mit einer schädlichen Nutzlast konnten die strengen Kontrollen von Apple umgehen und im offiziellen App Store veröffentlicht werden.
Was kann man tun?
Wir haben unsere Lektion aus dem Triangulation-Vorfall gelernt und stellen, wie viele andere private Unternehmen und Behörden, die Verwendung von iPhones für Arbeitszwecke nach und nach ein. Als Alternative verwenden wir jetzt Android-Geräte mit unserer Lösung, von der wir wissen, dass sie effektiv ist. Das bedeutet nicht, dass wir glauben, dass ein Angriff auf Android schwieriger ist, sondern nur, dass der Schutz einfacher ist und die Anzeichen eines Angriffs leichter zu erkennen sind.
Dies ist keine dauerhafte Lösung – eine Ergänzung des Betriebssystems ist nicht ideal. Eine Sicherheitslösung funktioniert nach dem Prinzip der erworbenen Immunität: Sie schützt vor ähnlichen Bedrohungen, wie die, denen sie bereits begegnet ist. In einer perfekten Welt würde jeder ein Mobiltelefon mit angeborener Immunität besitzen, das unbeabsichtigte Aktionen von vornherein unmöglich macht. Leider gibt es ein solches Gerät nicht… noch nicht.
