[UPDATE] NSA-Software DROPOUTJEEP erlaubte Vollzugriff auf iPhones

Dieses Thema im Forum "Magazin" wurde erstellt von Martin Wendel, 31.12.13.

  1. Martin Wendel

    Martin Wendel Chefredakteur & Moderator
    AT Administration

    Dabei seit:
    06.04.08
    Beiträge:
    40.876
    [portalpreview]Im Rahmen eines Vortrags beim Chaos Communication Congress hat Sicherheitsforscher Jacob Appelbaum Dokumente zu weiteren Überwachungsprogrammen der NSA, unter anderem betreffend iPhones, veröffentlicht. Unter dem Namen DROPOUTJEEP entwickelte der amerikanische Auslandsgeheimdienst demnach eine Software, die im Jahr 2008 quasi Vollzugriff auf Daten und Funktionen von iPhones erlaubte. Ob diese Möglichkeiten noch immer bestehen oder ob sie gar weiter verfeinert wurden, ist nicht bekannt.[/portalpreview]

    slide.jpg
    Bild von PM Cheung (flickr), bestimmte Rechte vorbehalten

    Das aus dem Jahr 2008 stammende NSA-Dokument beschreibt die Funktionalität von DROPOUTJEEP. Die Software erlaube unter anderem, Daten vom Gerät herunterzuladen bzw. auf das Gerät zu kopieren oder den Zugriff auf SMS-Nachrichten, Kontaktlisten, Voicemail, Standorte, Mikrofon und Kamera. Um die Software zu installieren, benötigte die NSA physischen Zugriff auf das Gerät. In dem Dokument heißt es weiter, dass Möglichkeiten für eine entfernte Installation für eine zukünftige Version angestrebt werden.

    Die NSA spricht davon, dass es bei der Installation der Software eine 100-prozentige Erfolgsrate gebe. Dies verwundert gerade in Bezug auf die Geschlossenheit des iOS-Systems, die eine Installation von Software von Dritten eigentlich verhindern sollte. Jacob Appelbaum stellt deshalb die Frage in den Raum, ob Apple der NSA dabei geholfen habe, die Software zu entwickeln. Er könne es zwar nicht beweisen, aber – gerade in Anbetracht der 100-prozentigen Erfolgsrate – erscheine es ihm wahrscheinlich.

    Zu den jüngsten Entwicklungen hat sich Apple noch nicht geäußert. Vor einigen Wochen hat sich das kalifornische Unternehmen mit weiteren Giganten in der Technologiebranche – unter andrem Google, Microsoft, Facebook und Twitter – zusammengetan. Gemeinsam setzt man sich für eine Reform von Überwachungsmaßnahmen von Regierungen ein. Nähere Details dazu kann man auf der Webseite Reform Government Surveillance nachlesen.

    Der Vortrag von Jacob Appelbaum beim Chaos Communication Congress ist auf Youtube verfügbar. Der Teil, bei dem er über DROPOUTJEEP berichtet, beginnt ca. bei Minute 44:30.


    [h2]Update[/h2]
    31. Dezember 2013, 16:30 Uhr

    Der stets gut informierte MacMark geht in seinem Blog näher auf die Enthüllungen von Jacob Appelbaum ein. Demnach betreffe das Dokument rund um DROPOUTJEEP, das auf den 1. Oktober 2008 datiert ist, entweder iPhone OS 1 oder das Mitte 2008 gemeinsam mit dem iPhone 3G erschienene iPhone OS 2. iPhone OS 1 wies dabei noch weitreichende Sicherheitsrisiken auf und es wäre ein leichtes gewesen, Software wie DROPOUTJEEP mit Root-Rechten ausgestattet auf das Gerät zu laden. iPhone OS 2 war zwar in vielen Belangen sicherer, konnte trotzdem noch vergleichsweise einfach über einen Jailbreak entsperrt werden – etwa über das Aufrufen einer PDF-Datei, die zusätzlichen Code am Gerät installierte.

    Auch wenn es sich nicht mit Sicherheit ausschließen lässt, erscheint es daher eher unwahrscheinlich, dass die NSA damals auf die Hilfe von Apple und Hintertürchen im iPhone OS angewiesen war. Interessant wäre, inwieweit es der NSA heute noch möglich ist, iPhones mit aktuellem iOS auszuspionieren. Entsprechende Schwachstellen in der Software wären auf jeden Fall vorhanden, wie der vor wenigen Tagen veröffentlichte Jailbreak beweist.

    Via MacRumors
     
    #1 Martin Wendel, 31.12.13
    Zuletzt von einem Moderator bearbeitet: 13.01.14
    d.riegger gefällt das.
  2. MaxTrax

    MaxTrax Eierleder-Apfel

    Dabei seit:
    03.10.08
    Beiträge:
    1.242
    Es ist immer noch erstaunlich, dass alle diese Enthüllungen anscheinend nichts bewirken. Es geht einfach weiter.
     
    DrShoe, Root, Bierhefe und 3 anderen gefällt das.
  3. meru

    meru London Pepping

    Dabei seit:
    30.09.06
    Beiträge:
    2.029
    Die Antwort darauf ist "Resignation"

    MfG Meru
     
  4. MacMark

    MacMark Jakob Lebel

    Dabei seit:
    01.01.05
    Beiträge:
    4.837
    Die erste iPhone OS Version, denn damals hieß es noch nicht iOS, war vollkommen unsicher. Alle Prozesse, auch der Browser liefen unter root. Es gab auch keinen Code-Signing-Zwang. Und kein Sandboxing. Darum konnte man problemlos mit physischem Zugriff Code installieren, der unbeanstandet läuft mangels Signatur-Prüfung. Der Fremdcode konnte auch alles tun, denn er war root und nicht sandboxed. Selbst ein Angriff von außen war leicht, lief doch der Browser unter root und nicht sandboxed. Das erste iPhone war eine Sicherheits-Katastrophe.

    Von daher war die erste iPhone OS Version eine Einladung für die NSA. Apple mußte gar nichts tun für die NSA. Es gab schlicht keine Sicherheit, die die NSA oder sonstige Angreifer vom ersten iPhone OS hätte abhalten können.

    Apple hat das aber in den folgenden Version bekanntlich dermaßen behoben, daß iOS noch sicherer als OS X ist wegen geringerer Angriffsoberfläche (weniger Code, der für einen Angreifer als Ziel erreichbar ist).

    Nachzulesen im iOS Hacker's Handbook. http://www.macmark.de/osx_books.php
     
    #4 MacMark, 31.12.13
    Zuletzt bearbeitet: 31.12.13
    Hendrik1774o, d.riegger, lx88 und 4 anderen gefällt das.
  5. casi73

    casi73 Raisin Rouge

    Dabei seit:
    31.07.11
    Beiträge:
    1.179
    Ist es neu, dass Firmen Hintertüren zulassen...Was willst du dagegen machen? Selbst wen tausende oder gar ein paar Millionen auf der Welt mit boykottieren würden, wäre es nur ein Tropfen auf einem heißen Stein.
    Ich habe nichts zu befürchten, wenn die NSA weiß, dass ich sexy Nachrichten von meiner Freundin bekomme. ;) Hihi, im Januar mache ich eine Fernwartung mit einer Kundin, die in Afghanistan ist...cool, dann stehe ich bestimmt bei der NSA unter Beobachtung. :cool:
    LG 008/15
     
    d.riegger gefällt das.
  6. amb

    amb Kaiser Wilhelm

    Dabei seit:
    29.07.09
    Beiträge:
    175
    gibt es denn etwas zu tun? Die Aufgabe von Geheimdiensten war es doch schon immer Informationen zusammenzutragen. Auch gegen bestehendes Recht. Währ ja sonst auch sinnlos. Also Wähl dir eine Regierung und schaff den Geheimdienst deines Landes ab. Was bleibt ist nicht viel besser.
     
  7. Farafan

    Farafan deaktivierter Benutzer

    Dabei seit:
    16.09.12
    Beiträge:
    10.250
    Selbst wenn Apple wollte könnten sie sich nicht widersetzen. Das Stichwort heißt "patriot act".

    Aber vielleicht merkt man über dem großen Teich so langsam wie sehr man sich selbst ins eigene Fleisch schneidet: Firmen wie Cisco und HP haben seit den Enthüllungen mit massivem Umsatzrückgang zu leben.

    Neulich war ich noch zu Besuch bei dem Unternehmen das uns beruflich Firewalls und VPN-Solutions liefert. Da man ausschließlich in Deutschland entwickelt und auch fertigt rennen die Kunden dort die Türen ein.
     
    Abendschnee und Pep gefällt das.
  8. skillz

    skillz Macoun

    Dabei seit:
    03.09.10
    Beiträge:
    119
    Ja, traurige Entwicklung.
     
  9. MaChris

    MaChris Roter Stettiner

    Dabei seit:
    25.07.06
    Beiträge:
    970
    Hm, vielleicht ist die Erwartung auch falsch. Ich würde nicht erwarten, dass öffentlich in den Medien darüber berichtet werden würde, wenn aus den Veröffentlichungen politische / wirtschaftliche Konsequenzen gezogen würden. Würde denn wirklich eine Firma öffentlich machen, dass sie betreffend der Produkte des Netzwerkausrüsters A nun zu den Produkten des Mitbewerbers wechselten, just wegen des NSA-Skandals?
    Das könnte u. U. sogar ein Bumerang werden.

    Ich glaube jeder Einzelne ist gefordert, bei sich selbst zuerst anzufangen und zu hinterfragen, welche Technik er wirklich benötigt, mit welchen Einschränkungen er leben kann und worauf man komplett verzichten kann. Und in dieser Haltung mit Familie, Freunden und Bekannten diskutieren und diese ebenfalls zum Nachdenken und Handeln zu bringen.
     
    MaxTrax gefällt das.
  10. Mac 2.2

    Mac 2.2 Kaiser Alexander

    Dabei seit:
    10.06.10
    Beiträge:
    3.952
  11. Farafan

    Farafan deaktivierter Benutzer

    Dabei seit:
    16.09.12
    Beiträge:
    10.250
    Zudem ist die Spähaffäre beendet und das ist sowieso alles Neuland. Basta.
     
    wantamac und Pep gefällt das.
  12. Pep

    Pep Becks Apfel (Emstaler Champagner)

    Dabei seit:
    12.10.13
    Beiträge:
    335
    Das war das, was der damalige Innenminister Friedrich auch gesagt hat. Und diese Aussage wurde als Eingeständnis verstanden, dass der deutsche Staat nichts machen will oder kann. Und jetzt ist der Mann nur noch Agrarminister.
     
    MaxTrax gefällt das.
  13. Mac 2.2

    Mac 2.2 Kaiser Alexander

    Dabei seit:
    10.06.10
    Beiträge:
    3.952
    Bei sich selbst anfangen geht zu einem bestimmten Maß. Doch wie kann man sich effektiv dagegen schützen, dass das Paket mit neuem Smartphone/ PC etc. vorher abgefangen wird, um manipuliert zu werden? Genauso wie es der Spiegel in dem Video schön zeigt: Wie kann ich es verhindern, dass ich auf der perfekt gefälschten Seite lande, weil einfach die NSA schnellere Server zur Verfügung hat?!
     
  14. MaChris

    MaChris Roter Stettiner

    Dabei seit:
    25.07.06
    Beiträge:
    970
    Dennoch glaube ich, ist es nicht zu spät. Wir sollten unser eigenes Handeln öfter mal hinterfragen, z. B. warum nicht öfters bar bezahlen und nicht mit der Karte oder brauche ich die Kundenkarte wirklich oder muss ich mich unbedingt bei dem neuen Internetservice oder social media anmelden.
    Geht es evtl. auch anders oder ohne?
    Ich bin der Überzeugung, wenn es genügend Gleichgesinnte gibt, lässt sich auch etwas bewegen und man kann auch Druck auf Wirtschaft und Politik ausüben.
     
  15. MaChris

    MaChris Roter Stettiner

    Dabei seit:
    25.07.06
    Beiträge:
    970
    Ad hoc habe ich darauf auch keine Erklärung oder Lösung, aber wenn man das im Freundes-/Bekanntenkreis oder hier im Forum stets weiter diskutiert, findet man evtl. jemanden, der eine Antwort darauf hat.
     
  16. Mac 2.2

    Mac 2.2 Kaiser Alexander

    Dabei seit:
    10.06.10
    Beiträge:
    3.952
    Bei diesen Punkten stimme ich dir zu. Nur, bewirkt das noch was? Denn wenn ich bar bezahle, schaut meistens auch ne Kamera mit zu…
    Von sozialen Netzwerken kann man sich auch nur schlecht fern halten. Denn mittlerweile gibt es genug "Deppen" die ihr Adressbuch mit Facebook synchron halten oder ungefragt Bilder von anderen hochladen…

    EDIT: Diskutieren hat dazu geführt das ich mit 2 Freunden schon keinen Kontakt mehr habe… So ein Thema spaltet das Land…
     
    Farafan gefällt das.
  17. skillz

    skillz Macoun

    Dabei seit:
    03.09.10
    Beiträge:
    119
    Ja, so muss man eigentlich anfangen.
    Auch lieber mal wieder im Buchladen im Ort kaufen, statt bei Amazon etc. Das Problem wird nur sein, dass früher oder später es kein Bargeld mehr geben wird und alles nur noch elektronisch abgewickelt wird. :(
     
  18. Farafan

    Farafan deaktivierter Benutzer

    Dabei seit:
    16.09.12
    Beiträge:
    10.250
    So schaut es aus.
    Der allererste Schritt wäre Finger weg von Fratzenbuch, What´s App, Payback und Co. Denn wer schon seine höchstpersönlichen Daten völlig freiwillig wegschenkt braucht sich um Informationssicherheit wirklich keinerlei Gedanken mehr zu machen.
     
  19. skillz

    skillz Macoun

    Dabei seit:
    03.09.10
    Beiträge:
    119
    Dann waren es keine richtigen Freunde. Aber so eine Entwicklung ist traurig.
     
  20. MaChris

    MaChris Roter Stettiner

    Dabei seit:
    25.07.06
    Beiträge:
    970
    Evtl. - aber sicher nicht so schnell.
    Und wenn es so kommt, muss ich doch nicht alle verfügbaren Bezahlservices nutzen, nur weil sie evtl. aktuell populär und chic sind.
    Auch ich kaufe online ein, aber die Bezahlmöglichkeiten, die ich dafür nutze, lassen sich an drei Fingern abzählen.