GrayKey-Hersteller wird nach Quellcode-Leak erpresst

[Martin Wendel]

GrayKey-Hersteller wird nach Quellcode-Leak erpresst

Bislang ist es immer noch ein Geheimnis, wie über GrayKey selbst aktuelle iOS-Versionen innerhalb von Stunden oder Tagen entsperrt werden können. Daran dürfte auch ein Leak des GrayKey-Quellcodes nichts ändern. Denn Teile davon wurden nun von Hackern veröffentlicht, gepaart mit einer Drohung an die Entwickler: Möchten sie weitere Veröffentlichungen verhindern, müssen sie zwei Bitcoins – umgerechnet rund 15.300 Euro – bezahlen.
GrayKey: Lediglich UI-Code geleakt


Grayshift, die Entwickler von GrayKey, zeigen sich davon allerdings wenig beeindruckt. Sie gestehen zwar ein, dass durch eine Netzwerk-Fehleinstellung eine GrayKey-Einheit für kurze Zeit über das Internet zugänglich war, dabei sei jedoch nur auf den HTML- und Javascript-Code für die Benutzeroberfläche von GrayKey zugegriffen worden. Sensible Daten seien davon nicht betroffen, beteuert Grayshift in einem Statement.

Apple dürfte inzwischen Varianten testen, GrayKey auch ohne nähere Kenntnis über die Arbeitsweise unschädlich zu machen.

Bild von Malwarebytes

Via MacRumors

 

[echo.park]

Was sind das nur für Pfeifen?

 

[Ijon Tichy]

Was sind das nur für Pfeifen?

Welche meinst du?

 

[echo.park]

GrayKey. Bauen ein Gerät welches die Sicherheit und Privatsphäre der User torpediert und den Überwachubgsstaat fördert, nur um Kohle zu machen. Und dann sind die noch so stümperhaft, dass es zu einem Leak kommt. Und solche Pfeifen leben vermutlich noch ein glückliches Leben mit ordentlichem Auskommen.

In einer gerechten Welt...

 

[Mitglied 87291]

GrayKey. Bauen ein Gerät welches die Sicherheit und Privatsphäre der User torpediert und den Überwachubgsstaat fördert, nur um Kohle zu machen.

So sehr ich deine Meinung auch nachvollziehen kann, gibt es auch sehr gute Gründe dafür, die Privatsphäre von Usern zu torpedieren und in Ausnahmesituationen auf jegliche Daten zugreifen zu können. Ich glaube auch nicht dass Regierungsbehörden jetzt Systemweit iPhones entsperren werden um mal zu schauen was die Bevölkerung so denkt. Aber gerade in Zeiten von Terroranschläge usw. gibt es auch genug rationale Gründe, die so ein Gerät durchaus sinnvoll machen.

 

[dr-eisbach]

So sehr ich deine Meinung auch nachvollziehen kann, gibt es auch sehr gute Gründe dafür, die Privatsphäre von Usern zu torpedieren und in Ausnahmesituationen auf jegliche Daten zugreifen zu können. Ich glaube auch nicht dass Regierungsbehörden jetzt Systemweit iPhones entsperren werden um mal zu schauen was die Bevölkerung so denkt. Aber gerade in Zeiten von Terroranschläge usw. gibt es auch genug rationale Gründe, die so ein Gerät durchaus sinnvoll machen.

Da gebe ich Dir grundsätzlich natürlich recht. Nur: wer will denn da die Grenzen ziehen und wo? Wer bestimmt ab welcher Straftat ein iPhone geknackt werden darf? Wer verhindert, dass solche Geräte zum knacken der iPhones in „falsche“ Hände geraten?

 

[Porlox]

Ich find's immer lustig, wie sensibel man reagiert wenn es um das geliebte Smartphone geht. Auf der einen Seite fluten die User Anbieter wie WA & Co. mit Daten und schicken denen freiwillig das, was Unternehmen nun im Rahmen der DSGVO aufwendig dokumentieren und schützen müssen - die Kontakdaten. Auf der anderen Seite fühlen sie sich aber auch benachteiligt wenn nur von einer Kontrollmöglichkeit die Rede ist.

Gehen wir in ein Konzert, lassen wir uns filzen - freiwillig und ohne Durchsuchungsbefehl. Scheint für alle auch völlig normal. Was soll soll auch passieren? Ich weiß doch vorher, dass Knarren und Messer oder die Pulle Vodka nicht angesagt sind. Macht da jemand Stress? Nö. Warum also sollte sich der Otto-Normalverbraucher - der nix verbrochen hat - darüber aufregen, wenn im Rahmen einer Ermittlung mal auf's Smartphone geguckt wird?

 

[HaukeG5]

Warum also sollte sich der Otto-Normalverbraucher - der nix verbrochen hat - darüber aufregen, wenn im Rahmen einer Ermittlung mal auf's Smartphone geguckt wird?

Weil ich nicht gern unter Generalverdacht gestellt werde, nur weil ich wegen Geschlecht, Alter oder Größe zum Täterkreis gehören könnte.

Bei einem Konzert oder Festival gehe ich freiwillig und akzeptiere das Hausrecht der Sicherheit (auch meiner) wegen. Passt mir nicht das die Tasche meiner Frau und meine Jacke durchgeschaut wird, muss ich halt weg bleiben. Im Fall der Ermittlungsbehörden kommt man mit wegbleiben nicht ganz so weit... Ja, ich weiß wovon ich rede, ich war mal Spur Nr. 762 im Fall einer Kindestötung nur weil ich zur falschen Zeit am falschen Ort war und blöd aufgefallen bin. Es ist kein Spaß wenn man sich zu 100% sicher ist mit der Sache nicht das geringste zu tun zu haben aber irgendwie Mühe hat dies den Ermittlern auch so glaubhaft zu verklickern das es bei einem Gespräch bleibt. Spätestens wenn man wegen so einer Sache das zweite mal besucht wird oder aufgefordert wird die ermittler zu besuchen, fängt es tierisch an zu nerven. Und glaube mir auf so ziemlich jedem Smartphone befinden sich Sachen, die zu falschen Schlüssen führen können wenn man es mit einem sehr eifrigen Ermittler zu tun hat.

 

[saw]

Auf der einen Seite fluten die User Anbieter wie WA & Co. mit Daten

Sorry, aber allerbilligste Verallgemeinerung,
abgesehen, den Unterschied zwischen einem freiwillig geposteten Urlaubsbild auf FB oder dass eventuell gegen meinen ausdrücklichen Willen, von Fremden

im Rahmen einer Ermittlung mal auf's Smartphone geguckt wird?

und alle Bilder, Chats, Mails, Dateien und Dokumente eingesehen werden könnten, wirst auch Du erkennen müssen.

Gehen wir in ein Konzert, lassen wir uns filzen - freiwillig und ohne Durchsuchungsbefehl.

Da gehe ich freiwillig hin und akzeptiere dies freiwillig, auch zu meinem Schutz schließlich.

Wie wäre es denn, wenn ein bis zweimal im Monat Ermittler morgens bei dir vor der Türe stehen würden und mal einen Blick über deine Wohnung und Rechner werfen wollten, incl. "filzen" und paar Kopien machen bei Bedarf?
Ich meine, als

Otto-Normalverbraucher - der nix verbrochen hat

wirst Du dich da sicher nicht drüber aufregen

Nur: wer will denn da die Grenzen ziehen und wo? Wer bestimmt ab welcher Straftat ein iPhone geknackt werden darf?

Da bedarf es einfach einer entsprechenden Gestaltung durch den Gesetzgeber,
die gibt es doch wenn es um die eigenen 4 Wände geht oder die Post, auch.

Ich habe kein Problem damit, wenn aufgrund entsprechender rechtsstaatlicher Gesetze und Vorgehensweisen, Smartphones und Rechner "geknackt" werden können, jedoch nur bei entsprechendem Anfangsverdacht und Erteilung einer Befugnis durch Richter unter Einhaltung geregelter Dokumentation des ganzen.

Einfach mal bei einer Fahrzeugkontrolle aber gesagt bekommen, Fahrzeugschein, Führerschein und Smartphone und die kopieren mal flott alles auf die eigenen Server, nur weil zwei Länder weiter, ein Terrorverdächtiger auch in einem Fahrzeug mit Verbrennungsmotor und eingeschalteter Beleuchtung gesichtet wurde, wäre dann doch etwas wage, auch wenn ich nichts zu verbergen habe.
Was eh egal ist, weil wir hier in Deutschland eigentlich nicht nachweisen müssen, das wir nichts zu verbergen haben.

 

[echo.park]

Warum also sollte sich der Otto-Normalverbraucher - der nix verbrochen hat - darüber aufregen, wenn im Rahmen einer Ermittlung mal auf's Smartphone geguckt wird?

Dieses "Ich habe doch nichts zu verbergen" kann ich nicht mehr hören. Es ist kaum auszuhalten. Ich bin es auch leid dazu jetzt was zu schreiben, das überlasse ich anderen. Die Diskussion gab es die letzten Jahre schon oft genug. Und es gibt immer noch Leute, die den Schuss nicht gehört haben.

 

[Martin Wendel]

Gehen wir in ein Konzert, lassen wir uns filzen - freiwillig und ohne Durchsuchungsbefehl.

Es kann doch nicht dein ernst sein, dass du die Analyse der Daten auf deinem Mobiltelefon mit einer Kontrolle bei einem Konzert vergleichst. Ich hoffe das war irgendeine Form eines schlechten Scherzes.

 

[MichaNbg]

Da gebe ich Dir grundsätzlich natürlich recht. Nur: wer will denn da die Grenzen ziehen und wo? Wer bestimmt ab welcher Straftat ein iPhone geknackt werden darf? Wer verhindert, dass solche Geräte zum knacken der iPhones in „falsche“ Hände geraten?

Die gleichen, die heute bestimmen, wann Wohnungen durchsucht, Schließfächer geöffnet oder Konten konfisziert werden dürfen.

Ich finde ja bestimmte Tendenzen in der Politik auch höchst problematisch. Aber im gleichen Maße verstehe ich die Hysterie nicht, wenn es um digitale Ermittlungen geht.

Die Polizei darf im entsprechenden Verdachtsfall deinen Spint im Sportheim oder deinen Arbeitsplatz durchsuchen. Sie darf dein Telefon überwachen und deine Wohnung filzen. Aber beim gleichen Verdachtsfall wird ein Mordsbohei um Smartphones und eMail-Konten gemacht?

 

[_macminimal]

So sehr ich deine Meinung auch nachvollziehen kann, gibt es auch sehr gute Gründe dafür, die Privatsphäre von Usern zu torpedieren und in Ausnahmesituationen auf jegliche Daten zugreifen zu können. Ich glaube auch nicht dass Regierungsbehörden jetzt Systemweit iPhones entsperren werden um mal zu schauen was die Bevölkerung so denkt. Aber gerade in Zeiten von Terroranschläge usw. gibt es auch genug rationale Gründe, die so ein Gerät durchaus sinnvoll machen.

Oh Gott! Mehr fällt einem zu solchen Einlassungen nicht ein. Bitte weiter als von der Tapete bis zur Wand denken. Danke.

ps. Deine sonstigen Post schätze ich sicher auch.

edit: hätte ich sie nicht schon vielerorts und oft geführt, würde ich an dieser Stelle eine Grundsatzdiskussion anstrengen...

…

Die Polizei darf im entsprechenden Verdachtsfall deinen Spint im Sportheim oder deinen Arbeitsplatz durchsuchen. Sie darf dein Telefon überwachen und deine Wohnung filzen. Aber beim gleichen Verdachtsfall wird ein Mordsbohei um Smartphones und eMail-Konten gemacht?

Falsches wird nicht richtig nur weil‘s aus deiner (digitalen) Feder kommt!

 

[echo.park]

@MichaNbg
Die kommen dann genau ein Mal und schauen in den Spind.

Aber so eine Backdoor bei Gmail. Die ist dann immer da. Vielleicht werden Daten kontinuierlich abgesaugt. Ich merke davon nichts. Weiß auch nicht warum. Bei der Spindsache bin ich deutlich besser informiert, was da so passiert. Habe die Beamten vielleicht so gar persönlich kennen gelernt.

Bei den Sachen im Spind kann man nur bedingt ein Persönlichkeitsprofil erstellen. Das kommt noch dazu.

Also ums mal kurz zu machen: der Vergleich hinkt gewaltig.

 

[Leraje]

In Deutschland gilt immer noch die Unschuldsvermutung, ganz im Gegensatz zu anderen Ländern.

Unser Rechtssystem sagt, dass du so lange unschuldig bist, bis dir die Staatsanwaltschaft das Gegenteil beweist.
Genau deshalb braucht es für solche tiefgreifende Eingriffe in die Persönlichkeitsrechte nicht nur eines Verdachtes der Polizei, da kommt die Staatsanwaltschaft und zu guter Letzt noch der richterliche Beschluss dazu.

Bitte nicht zu sehr auf Fernsehen, und erst recht nicht auf US-Serien vertrauen, zumal in den USA gilt, dass du deine Unschuld beweisen musst und das Rechtssystem komplett anders funktioniert, wie fast überall auf der Welt.

 

[MichaNbg]

Na so sehr hinkt der Vergleich nicht. Wenn man deine Arbeitsstelle und deine Wohnung leer räumt und auswertet wird man auch nicht sehr viel weniger wissen.

Mir liegt es auch fern, die Allmachtsphantasien der GPolD unter Unterstützung von Seehofer irgendwie zu verteidigen.

Trotzdem muss hier technisch den Behörden auf die Sprünge geholfen werden. Es ergibt keinen Sinn, dass physikalische Räume ggf untersucht werden können, digitale aber nicht.

Das wäre der gleiche Wahnsinn, wie sie permanent zu überwachen.

 

[Schupunkt]

Warum also sollte sich der Otto-Normalverbraucher - der nix verbrochen hat - darüber aufregen, wenn im Rahmen einer Ermittlung mal auf's Smartphone geguckt wird?

Frag dass mal die Journalisten beim G20 Gipfel, die unrechtmäßig ihre akkreditierend verloren hatten, nur weil sie vor Jahren mal versehentlich in einer Datei gelandet sind die danach nie gelöscht wurde.
Oder die Journalisten in der Türkei die vielleicht mal vor Jahren Regierungskritische Berichte geschrieben haben und dafür heute im Knast sitzen oder arbeitslos sind, weil sich die politische Lage geändert hat.
Soll heißen, nur weil du heute glaubst nichts verbotenes getan zu haben, heißt das nicht das die Informationen aus deinem Smartphone in der Zukunft nicht gegen dich verwendet werden können.

 

[Verlon]

Trotzdem muss hier technisch den Behörden auf die Sprünge geholfen werden. Es ergibt keinen Sinn, dass physikalische Räume ggf untersucht werden können, digitale aber nicht.

und wie? etwa mit eingebauten Hintertüren, die dann von allen genutzt werden können, die sie kennen? Unabhängig davon, ob ein richterlicher Beschluss vorliegt oder nicht?

Das ist doch das eigentliche Problem... man kann nicht spezifisch einer bestimmten Gruppe nur unter bestimmten Bedingungen Zugriff gewähren. Entweder der Zugang existiert, oder nicht. Existiert er, ist er potentiell für alle verfügbar.

Das Gerät ist doch ein gutes Beispiel... wie soll denn da jetzt gewährleistet sein, dass es nur von autorisierten Behörden nach richterlichen Beschluss genutzt wird? gar nicht. Daher ist doch klar, dass Apple die Lücke schließen wird. Dann ist sie allerdings auch für die Behörden zu, egal ob richterlicher Beschluss oder nicht.

Physikalische Räume und digitale Räume sind nunmal nicht so einfach vergleichbar. Physikalische Räume lassen prinzipbedingt einen Zugriff zu, daher gibt es diese Diskussion über Hintertüren nicht.

 

[Martricks]

Also nachdem ich schon viel über diese Box gelesen habe, bin ich erstmal auf ein schönes alphanumerisches Passwort umgestiegen für mein X. Ob man was zu verbergen hat spielt für mich keine Rolle, ich möchte einfach nur dass keiner in meine Daten kuckt, und wenn es die Bilder meiner Familie sind. Und dass die Bundesregierung unter dem Deckmantel des Terrorismus mit Sicherheit falsche Wege einschlägt, werde ich mein Daten dementsprechend schützen. Zumindest so gut ich es kann.

 

[MichaNbg]

@Verlon
Nutzt du iCloud?