News vom 11.03.2017

Wikileaks enthüllt: CIA hackt Smartphones

Ein Artikel von , veröffentlicht am 11.03.2017

Am Dienstag veröffentlichte Wikileaks Dokumente, die aus dem Besitz des US-Geheimdienstes CIA stammen sollen. Sie enthalten Informationen darüber, wie die CIA unter anderem Smartphones überwacht. Was ist dran an den CIA-Methoden?

Nach Angaben von Wikileaks wurden die Dokumente aus einer Art internem Wiki entwendet, in dem Agenten des Geheimdienstes sich über Überwachungsmöglichkeiten informieren können, zum Teil aber auch über verschiedene Themen debattieren. Sie decken einen Zeitraum von 2013 bis 2016 ab.

Grundsätzlich ist es nach den Veröffentlichungen nicht notwendig, das eigene Sicherheitskonzept grundlegend zu überarbeiten. Auch wenn die CIA offenbar über Möglichkeiten verfügt, um gezielt Smartphones anzugreifen, gibt es bislang keine Indizien für eine Massenüberwachung aller Nutzer eines bestimmten Betriebssystems.

Die Dokumente zeigen, um es provokant zu sagen: Auch die CIA kocht nur mit Wasser und ganz gewöhnlichen Sicherheitslücken.

Eingekaufte Schwachstellen für iPhones

Auf Grund des abgeschotteten Betriebssystems gelten die Geräte von Apple als relativ sicher, verglichen mit den Android-Geräten von Google, die oft nur schlecht mit Updates versorgt werden.

Offenbar hat sich die CIA in der Vergangenheit Informationen über bislang unbekannte Schwachstellen und die zugehörigen Exploits von speziellen Unternehmen eingekauft. Unter Exploits versteht man die Software, mit der man solche Sicherheitslücken im Betriebssystem ausnutzen kann.

Im Zeitraum, den die Dokumente abdecken (2013 bis 2016), hatte die CIA mehrere solcher Exploits. Das bedeutet aber nicht, dass die Agenten einfach jedes Telefon von Apple hacken können – vor allem, weil die meisten Schwachstellen die kaum mehr benutzte iOS-Version 8.1 betreffen – die aktuelle Version ist 10.0.

Und: Längst nicht alle diese Schwachstellen sind aus der Ferne ausnutzbar. In vielen Fällen müsste also ein Agent der CIA ein Telefon von Hand mit Malware infizieren, was sehr aufwendig ist.

Außerdem gehen die Geheimdienste in der Regel sparsam mit solchen Schwachstellen um – denn je häufiger der Exploit genutzt wird, desto größer das Risiko, dass der Angriff entdeckt wird und künftig nicht mehr funktioniert. Zur Orientierung: Eine iOS-Schwachstelle, die sich aus der Ferne ausnutzen lässt, kostet auf dem Grauen Markt in der Regel rund eine Million US-Dollar, ist also kein Schnäppchen.

Nach Angaben von Apple sind die meisten Schwachstellen, die in den Dokumenten aufgezählt wurden, bereits durch ein Update behoben. iPhones werden in der Regel schnell mit den verfügbaren Aktualisierungen beliefert, so dass die Fehler nur noch bei wenigen Kunden vorhanden sein dürften.

Alte Schwachstellen für Android

Auch für Android listet das CIA-Dokument zahlreiche Schwachstellen in einer Tabelle auf. Auch hier betreffen die meisten Fehler alte Versionen des Betriebssystems, etwa die Version 4.4 aus dem Jahr 2013. Die aktuelle Android-Version ist 7.0.

Welche Android-Version habe ich? Wie Sie das herausfinden, erklären wir in der Anleitung So finden Sie Android-Version und Modellnummer.

Geräte mit diesen alten Versionen sind in Deutschland durchaus noch im Umlauf. Wer sich in den vergangenen beiden Jahren ein neues Android-Smartphone gekauft hat, sollte aber eine aktuellere Version haben.

Dass in der Tabelle nur alte Schwachstellen stehen, muss nicht heißen, dass die CIA nicht auch neuere Telefone hacken kann – theoretisch. Sicherheitsforscher sehen Indizien, dass der Katalog nicht besonders gut gepflegt wurde. es kann also gut sein, dass der entsprechende Eintrag aus dem Jahr 2013 stammt und schlicht nicht aktualisiert worden ist.

Grund zur Panik besteht dennoch nicht. Jeden Monat schließt Google vergleichbare Sicherheitslücken. Und selbst eine bekannte, kritische und weit verbreitete Sicherheitslücke mit dem Namen Stagefright wurde nach Angaben von Google-Ingenieuren eher selten tatsächlich ausgenutzt.

Nutzer sollten aber unbedingt darauf achten, alle verfügbaren Updates einzuspielen – und die Update-Politik des Herstellers in künftige Kaufentscheidungen miteinbeziehen. Geräte, für die der Hersteller keine Angaben macht, wie lange sie mit Updates versorgt werden, sollten man schlicht nicht kaufen.

Angst vor dem smarten Fernseher

Viel Aufmerksamkeit hat auch ein Angriff auf ein Modell der sogenannten Smart-TVs der Firma Samsung bekommen. Tatsächlich gelang es der CIA offenbar, ein bestimmtes Modell des Herstellers zu kompromittieren und damit aus der Ferne das Mikrophon abzuhören.

Allerdings musste auch in diesem Fall ein Agent in der Wohnung sein, um den Hack zu aktivieren – zur Massenüberwachung ist auch diese Technik also eher nicht geeignet.

Verwirrende Angaben machte Wikileaks außerdem über die Nutzung verschlüsselter Messenger wie WhatsApp, Signal oder Telegram. Hier sei es der CIA möglich „die Verschlüsselung zu umgehen“. Was Wikileaks nicht schreibt: Dazu muss zunächst das zugrundeliegende Betriebssystems des Smartphones gehackt werden. Die Verschlüsselung selbst wird dabei nicht geknackt.

Es ist also weiterhin zu empfehlen, verschlüsselte Messenger zu nutzen und keine einfachen SMS-Nachrichten. Die Verschlüsselung von WhatsApp oder Signal gilt nach wie vor als sicher.

Fazit

Insgesamt hat Wikieaks die Folgen der CIA-Enthüllungen etwas übertrieben. Das soll nicht von dem, laut Wikileaks eigentlichen, Ziel der Quelle ablenken – einer kritischen Diskussion über die Fähigkeiten der Geheimdienste.

Diese Diskussion sollte auch in Deutschland, gerade angesichts des neuen, problematischen BND-Gesetzes unbedingt geführt werden. Aber bitte ohne Smartphonenutzer in Panik zu versetzen.

Weitere Artikel

Banking und Bezahlen 

Apple Pay: Wie sicher ist der Bezahldienst fürs iPhone?

Zum Bezahlen an der Kasse das iPhone ans Lesegerät halten – das geht in Deutschland seit 2018. Auch in Apps kann man mit Apple Pay bezahlen. Wie sicher ist die Technik? Und was passiert mit den Daten? Unser Überblick zu Apples Bezahldienst.

Mehr
YouTube-Video 

Das sind die besten 30 Apps aus dem F-Droid-Store (Android)

F-Droid ist eine Alternative zum Google Play-Store, die voll auf Datenschutz setzt. Apps dürfen nur in den Store, wenn sie quelloffen, kostenlos und werbefrei sind. Gemeinsam mit unserer Community haben wir die besten 30 Apps aus F-Droid ausgesucht.

Ansehen
Ratgeber 

Mobilgerät weg – Vorbeugen (Android)

Jeden Tag werden unzählige Mobilgeräte gestohlen oder einfach irgendwo liegengelassen. Nehmen Sie sich einen Augenblick Zeit, um Ihr Gerät auf diesen Fall vorzubereiten. Im Verlustfall können diese Vorkehrungen den Schaden zumindest zu begrenzen.

Mehr
Ratgeber 

Heimweg-App Vivatar kurz vorgestellt

Die Heimweg-App Vivatar der Firma Bosch bietet einen Begleitservice und eine Notfallfunktion - allerdings nur in der Premiumversion. Nutzer*innen starten mit einem kostenlosen Premium-Probemonat - bei unserem Test ließ sich jedoch keine Begleitung starten. Welche Daten der Dienst genau speichert und wie lange, wird nur lückenhaft erklärt.

Mehr