Zerodium-Wettbewerb

Browser-basierter Jailbreak für iOS9 - Realität oder Fiktion ?

Mark Zimmermann weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Er versteht es diese Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Hierzu ist er auf nationale Vorträgen und als freier Autor für Fachpublikationen tätig.
Im August 2010 gab es den ersten (und letzten) Browser-basierten Jailbreak. Um den Jailbreak damals zu starten, musste der Nutzer lediglich die Webseite www.jailbreakme.com im Safari Browser auf dem iOS-Gerät (bis iOS 4.0.1 bzw. beim iPad iOS 3.2.1) aufrufen. Einer Meldung von Zerodium zufolge hat sich das nun geändert. Was ist an der Geschichte dran?
Der Gewinner des iOS-9.1-Jailbreak-Wettbewerbs erhielt angeblich eine Million Dollar Preisgeld.
Der Gewinner des iOS-9.1-Jailbreak-Wettbewerbs erhielt angeblich eine Million Dollar Preisgeld.
Foto: Zerodium

Wo programmiert wird, gibt es Schwachstellen, Lücken und Bugs, nun scheint es einen zu geben, der sowohl Sicherheit als auch Datenschutz eines jeden Anwenders von iOS Geräten beinträchtigen kann, nur (fast) keiner hat ihn gesehen.

Was bisher geschah

Im September hat das Unternehmen Zerodium einen offenen Wettbewerb gestartet. Eine Millionen US-Dollar wurde für einen erfolgreichen Browser basierten (durch Safari bzw. Chrom) und "versteckten" Jailbreak ausgelobt. Ziel des Wettbewerbs war es, durch das Ansurfen einer Webseite heimlich ein iOS-Endgerät mit aktueller Betriebssystemversion zu kompromittieren. Kurze Zeit später vermeldete Zerodium einen Preisträger und der Wettbewerb wurde/war beendet.

Wo ist der Jailbreak jetzt?

Ist ein Gerät auf diese Art erst einmal infiziert, können Angreifer beliebige Aktivitäten (Installation von Zusatzcode, Auslesen von Daten) vollziehen. Es hat jedoch noch keiner die System-Manipulation in der Öffentlichkeit (merklich) wahrgenommen. Die Funktionsweise ist für die Öffentlichkeit nicht dokumentiert.

Woher Zerodium das ausgelobte Geld nimmt, und warum das Ganze nicht transparent gemacht wird, erschließt sich mit einem Blick auf die Kundenliste. Gerade für Geheimdienste ist die stille Installation von System-Manipulationen auf iOS Geräten ein Eintritt in eine Welt, in die sie für lange Zeit (anscheinend) keinen Zugang hatten.

In Zeiten, in denen Apple selbst sagt, man könne keinen Zugang auf gesperrte und damit verschlüsselten Geräte liefern, kommt dieser Wettbewerb genau richtig. Die Sicherheit und der Datenschutz der iOS-Nutzer stehen damit für Zerodium nicht im Fokus.

Was kann Apple tun?

Ohne detaillierte Informationen über die betroffenen Komponenten und Vorgehensweisen eines Angriffs wird es Apple schwer haben, die Lücke überhaupt zu schließen. Es darf sich nicht der Illusion hingeben werden, dass es sich um die einzige Lücke handelt. Auch muss man sich darüber bewusst sein, dass Lücken im System oft schon Jahre schlummern, bevor diese durch Zufall, Wettbewerbe wie diesen oder andere Motivationen entdeckt werden.

Firmen wie Facebook, Google und Co haben hierzu so genannte Bug-Bounty-Programme gestartet. Hier werden Sicherheitslücken nicht nur mit einer Erwähnung in den Release Notes geehrt, sondern monetär vergütet. Da Apple, nach meinem Kenntnisstand, ein solches Bug-Bounty Programm nicht anbietet, ist es für "Entdecker" derartiger Lücken nicht sonderlich profitabel, diese dem Unternehmen mitzuteilen. Wettbewerbe wie die von Zerodium kommen da genau richtig.

Was kann der Anwender tun?

Aktuell muss man sagen, dass iOS genauso sicher oder unsicher ist wie bisher. Sich gegen Geheimdienste zu schützen ist mehr als illusorisch, da diese zur Not den heimischen PC abfischen, um an die mobilen Daten zu gelangen. Trotzdem bleibt ein mulmiger Geschmack, wie damals, als Edward Snowden seine Dokumente erstmalig veröffentlicht hat.

Wir wissen jetzt, wenn wir den Meldungen Glauben schenken dürfen, dass es mindestens eine schwere Lücke im System gibt, die sich Organisationen mit entsprechenden monetären Mitteln zugänglich machen können, bleibt zu hoffen das Apple selbst hier aktiver wird. Viele Anwender glauben eventuell, das sie sich durch alternative Browser schützten könnten. Da die Browser auf iOS grundsätzlich die WebKit Technologie des Betriebssystems nutzen, halte ich dieses Vorgehen persönlich für nicht zielführend. (mb)