Ist iOS sicherer als Android? Was taugt Apple Pay? Und wie kann jedes Kind ein iPhone "hacken"? CURVED sprach mit dem Sicherheitsexperten Ben Schlabs.
Wenn es um die Kommunikation mit mobilen Geräten geht, sind wir zwiegespalten. Einerseits sorgen wir uns um die Sicherheit unserer Daten, tun andererseits aber viel zu wenig, um uns vor Angriffen zu schützen. Selbst Innovationen wie der Fingerabdrucksensor beim Apple iPhone 5S/6 oder Samsung Galaxy S4/5 sind keine verlässlichen Hürden für Kriminelle. Auf der diesjährigen Blogger-Konferenz Re:publica demonstrierte der Sicherheitsforscher Ben Schlabs recht eindrucksvoll, wie man mit einem Foto, einer Kupferplatte, Farbspray, etwas Leim und handwerklichem Geschick einen Fingerabdruck faken und den – ach so sicheren – Sensor austricksen kann. Die Vorführung hat Eindruck gemacht, sodass ich ein paar Wochen später mit Ben Kontakt aufnehme.
Ich treffe Ben kurz nach dem Verkaufsstart des iPhone 6 und 6 Plus in Berlin. Sein neues iGadget hat er gleich am Morgen des ersten Verkaufstags im Apple Store bekommen – ohne schon Tage vorher am Kurfürstendamm campiert zu haben.
CURVED: Wie wichtig ist es für Dich, ein neues iPhone als einer der Ersten zu haben?
Ben Schlabs: Für mich ist es als Forscher und Berater in der IT-Sicherheit wichtig, technisch am Puls der Zeit zu sein. Außerdem bin ich schon seit meiner Kindheit ein technikaffiner und neugieriger Mensch. Ich möchte verstehen, wie die Gegenstände in unserem Leben funktionieren und gegebenenfalls verbessert werden können. Ich mochte deshalb auch immer die Naturwissenschaften und habe Physik studiert, um diese Sachen auf einer fundamentalen Ebene zu verstehen.
CURVED: Darf man Dich als Hacker bezeichnen?
Ben Schlabs: Ja, gerne, da das Wort in seinem Ursprung nichts anderes bedeutet als Tüftler. Wenn ich nicht direkt den Schlüssel für ein Problem habe, versuche ich es trotzdem mit den vorhandenen Mitteln zu lösen. Hier, ich zeige dir, was ich meine.
Ben kramt aus seiner Tasche zwei gleich aussehende Batterien. Der Mann ist offenbar auf alles vorbereitet.
Wenn ich herausfinden will, welche von den beiden Batterien leer und welche voll ist, müsste ich sie normalerweise in ein Testgerät oder einen Verbraucher legen. Da ich aber beides nicht zur Hand habe, improvisiere ich.
Dabei lässt er die Batterien nacheinander auf die Tischplatte fallen. Während die eine noch einmal kurz abfedert, kippt die andere satt zur Seite weg.
Jetzt weiß ich: Die Hüpfende ist leer. Das ist ein klassischer Alltags-Hack. Dass das Wort "Hacker" auf der Homepage des FBI zwischen "Terroristen" und "Pädophilen" ohne einschränkende Erläuterung steht, ist fahrlässig. Genaugenommen waren Leute wie Benjamin Franklin, Steve Jobs, Bill Gates, die Wright Brothers oder auch der Earl of Sandwich ebenfalls Hacker. Als Kind waren MacGyver, Batman, und Donatello von den Ninja Turtles meine Helden.
CURVED: Du führst auf Veranstaltungen die Sicherheitsrisiken von mobilen Geräten vor. Wem dient Deine Arbeit?
Ben Schlabs: Meine Arbeit dient hoffentlich den meisten Menschen, insbesondere meiner Familie und meinen Freunden. Ich möchte niemandem gegenstandslos Angst einjagen, sondern Menschen auf Sicherheitsrisiken aufmerksam machen. Sie sollen die Gefahren selbst einschätzen und entscheiden können, ob sie etwas dagegen unternehmen wollen. Meine Eltern beispielsweise nutzen dank meiner Erklärungen längere und verschiedene Passwörter.
CURVED: Wenn ich kurz den Raum verlasse und mein Smartphone hier liegen lasse: Was kannst Du damit anstellen?
Ben Schlabs: Es kommt darauf an, welche Entscheidungen du bei der Einrichtung des Geräts und seitdem in den Einstellungen getroffen hast. Wenn ich ein Angreifer wäre, würde ich zuerst versuchen herauszufinden, wie oder ob das Gerät überhaupt geschützt ist. Gibt es eine Bildschirmsperre? Wenn ja, handelt es sich dabei nur um einen vierstelligen PIN, einen Fingerabdruck oder – wie bei manchen Android-Geräten – um ein Wisch-Muster oder eine Gesichtserkennung? Darf man vom Sperrbildschirm aus mit dem Sprachassistent reden? Werden SMS oder E-Mails auf dem Sperrbildschirm angezeigt? Ein professioneller Angreifer kann diese Dinge sehr schnell herausfinden und entscheidet, was zu tun ist. Aber zurück zur Frage: Als erstes würde ich die typischen PINs ausprobieren.
CURVED: Du meinst 0000 und 1234?
Ben Schlabs: Genau, das sind die beiden, die einem zuerst einfallen, und die werden leider auch sehr häufig verwendet. 1234 ist die bei Weitem häufigste PIN. Eine zufällige PIN sollte 0,01 Prozent aller PINs repräsentieren, 1234 wird aber von 12 Prozent aller Nutzer verwendet. Mit diesem Code knackt man also rund jedes achte Handy. Die meisten Leute benutzen eine PIN, die sie sich leicht merken können, zum Beispiel die Geburtsjahre von 1956 bis 2015. Das Problem: Diese lassen sich mit überschaubarem Aufwand nach der Brute-Force-Methode nacheinander durchprobieren.
Wenn das Telefon zusätzlich mit einem Fingerabdruck gesichert ist, würde ich zunächst ein Foto machen, damit meine Fingerabdrücke nichts verschmieren. Anschließend kann ich die Abdrücke extrahieren, bearbeiten, ausdrucken, auf eine Platine ätzen und von dem Negativ mit Leim einen Gummifinger machen. Auf der Re:publica habe ich diesen Hack mit einem Samsung Galaxy S5 gezeigt. Aber das funktionierte bisher auch mit jedem anderen Gerät, mit dem wir die Methode getestet haben.
CURVED: Diesen Hack kannst Du aber nur anwenden, wenn Du Zeit hast. Was lässt sich auf der Stelle mit der Sprachsteuerung anstellen?
Ben Schlabs: Wenn die Einstellungen es zulassen, kann ich trotz Sperrbildschirm jemanden anrufen oder eine SMS schreiben.
Ben nimmt mein gesperrtes Handy und hält die Home-Taste gedrückt, um Siri zu aktivieren und fragt:
Wer bin ich?
Trotz Sperrbildschirm sagt Siri meinen Namen und auf dem Display erscheint meine Kontaktinformation.
Zeige Nachrichten!
Siri liest sämtliche ungeöffnete Nachrichten vor und fragt, ob man eine Antwort diktieren möchte.
Interessant ist auch, dass ich vom Sperrbildschirm zwar keine Apps öffnen, aber Anrufe einleiten kann. Und da ich am oberen Bildschirmrand sehe, wer dein Provider ist, lass ich über Siri einfach die Nummer deiner Mailbox wählen. Über den Ziffernblick kann ich dann durch das Menü wandern und mir deine Sprachnachrichten anhören. Je prominenter die Person, umso interessanter können die Nachrichten sein.
CURVED: Das ist den meisten Nutzern wohl kaum bewusst.
Ben Schlabs: Das Problem ist, dass sich die meisten Nutzer über diese Möglichkeiten keine Gedanken machen, wenn sie ihr Smartphone konfigurieren. Selbst wenn man nicht Jennifer Lawrence oder Angela Merkel heißt, und selbst wenn man auf dem Gerätespeicher weder Nacktfotos noch Betriebs- oder Staatsgeheimnisse mit sich herumträgt, könnte es sehr wohl sein, dass deine SMS oder deine Mailbox für einen Angreifer Geld wert sein können. Diese sollten bei einem gesperrten Gerät nicht zugänglich sein, sie sind aber aus Komfortgründen freigeschaltet. Deshalb sollte man in den Einstellungen den Zugang zum Sprachassistenten vom Sperrbildschirm dringend sperren.
CURVED: Sind iOS- oder Android-Geräte gleich sicher oder unsicher?
Ben Schlabs: Wie die Designs werden auch die beiden Betriebssysteme sich immer ähnlicher. Grundsätzlich ist das Android-Ökosystem vielfältiger und seine Sicherheit deshalb schwerer zu beurteilen. Die Geräte unterscheiden sich von Hersteller zu Hersteller. Die neueren Geräte enthalten Verschlüsselungsroutinen, wenn eine Bildschirmsperre aktiviert ist. Bei den älteren Android-Geräten lassen sich aber mit professioneller Forensik-Software mehr Daten auslesen als bei einem iOS-Gerät. Ein iPhone ist grundsätzlich immer gleich, es sei denn es ist gejailbreakt. Aber dann ist das Sicherheitsversprechen ohnehin nicht mehr gegeben.
CURVED: Was muss ich tun, um Experten wie Dir den Zugang zu erschweren?
Ben Schlabs: Noch einmal: Wenn du mich nicht aufforderst, dein Handy anzugreifen, würde ich das auch nie tun. Jeder Dieb wird bei einem „gefundenen“, gesperrten Gerät auch abwägen, ob sich der Zeitaufwand lohnt. Deshalb reicht es in den meisten Fällen, die Bildschirmsperre zu aktivieren und den Sprachassistenten auszuschalten.
CURVED: Kannst Du Daten aus meinem Handy auslesen, ohne dass Du das Gerät in die Hand nimmst?
Ben Schlabs: Das geht grundsätzlich. Bestes Beispiel sind Jennifer Lawrence und die anderen Stars, deren iPhone-Backups aus der Cloud abgerufen worden sind. Der Hack funktionierte wahrscheinlich low-tech, zum Beispiel dadurch, dass man schwache Passwörter erraten oder über einen Phishing-Angriff von den Opfern selbst mitgeteilt bekommen hat. Auf diese Weise konnte man dann auch das Backup unbemerkt herunterladen. Hier hätten stärkere Passwörter, eine Zwei-Faktor-Authentifizierung oder vielleicht auch nur eine erhöhte Aufmerksamkeit geholfen. Aber glaubt man Edward Snowden, dann kann die NSA auf jedes Gerät zugreifen, zumindest auf jedes iPhone. Und auch wenn man nicht glaubt, für die NSA von Interesse zu sein, sollte man sehr darauf achten, welche Apps man installiert. Apps können Malware enthalten, Daten auslesen und sie unbemerkt über die Datennetzwerke an die Angreifer verschicken.
CURVED: Glaubst Du, dass Geheimdienste die Hersteller verpflichten Hintertüren – Backdoors – einzubauen?
Ben Schlabs: Ich habe mich nicht genug in die geleakten NSA-Dokumente eingelesen, um zu wissen, wie das genau gemacht wird. Aber es soll wohl möglich sein, dass die NSA zumindest über bestimmte Sicherheitslücken Zugriff auf Mikrofon, Kamera und Daten erhält.
CURVED: Okay, gehen wir mal davon aus, dass so etwas möglich ist. Können unabhängige Entwickler und Ingenieure, die in einem Smartphone verbaute Technik und entwickelte Software nicht so sezieren, dass sie diese Hintertüren entlarven?
Ben Schlabs: Ja und nein. Man kann viele Sachen natürlich schon entlarven. Es gibt aber immer wieder bisher unbekannte Sicherheitslücken, die entdeckt und öffentlich gemacht werden. Letztlich gibt es so viele Bugs auf so unterschiedlichen Ebenen, dass man sie gar nicht alle entdecken kann. In diesen Geräten sind so viele verschiedene Chips von so vielen verschiedenen Herstellern und so viele Millionen Zeilen Code in dem Betriebssystem und in jeder einzelnen App. Das Zusammenspiel lässt sich überhaupt nicht mehr überblicken – glücklicherweise auch nicht von Angreifern, die in den meisten Fällen mehrere bisher unbekannte, sicherheitsbeeinträchtigende Bugs bräuchten, um einen funktionierenden Angriff aufzubauen.
CURVED: Wie schützt Du Dich? Telefonierst Du verschlüsselt?
Ben Schlabs: Manchmal. Es gibt Apps, die dafür brauchbar sind und auch sehr sicher.
CURVED: Hast du den Eindruck, dass seit den Snowden-Enthüllungen die Geräte sicherer werden?
Ben Schlabs: Sowohl Google als auch Apple aktivieren Verschlüsselungsroutinen, sobald die Geräte gesperrt sind. Dann lässt sich auch mit Forensik-Software nichts auslesen. Das ist sicher eine Folge der Enthüllungen vom letzten Sommer. Das Thema Massenüberwachung ist endlich bei vielen Menschen angekommen. Aber das Risiko muss ja nicht immer gleich die Massenüberwachung sein. Die Verschlüsslung schützt deine Daten vor Jedermann, der nicht an deine Fotos und die deiner Familie rankommen soll.
CURVED: Mit den neuen iPhone-Modellen werden vermutlich mobile Payment-Systeme einen neuen Schub erlangen - allen voran Apple Pay. Wie sicher sind die über NFC vermittelten Daten?
Ben Schlabs: Das kommt darauf an. Die Kommunikation zwischen den Geräten kann zwar abgehört werden; die Frage ist aber, welche Bedeutung die Informationen für den Angreifer haben. Bei ApplePay sieht es momentan so aus, dass die Kreditkartennummer natürlich nicht im Klartext über NFC übermittelt wird. Es wird quasi für jede Transaktion eine neue virtuelle Kreditkarte „erfunden“. Theoretisch sollte es daher nicht möglich sein, Rückschlüsse auf die verwendete Kreditkarte ziehen zu können.
CURVED: Werden durch ApplePay mobile Bezahlsysteme schneller vorankommen?
Ben Schlabs: Schwer zu sagen, weil die Bezahlgewohnheiten auf der ganzen Welt verschieden sind. In den USA habe ich meistens einen 20-Dollar-Schein für den Fall der Fälle im Geldbeutel, brauche aber eigentlich nie Bargeld, weil ich einfach immer mit einem Magnetstreifen bezahle. Total unsicher, aber total verbreitet – und komfortabel: Wenn ich merke, dass eine Transaktion unberechtigt war, weil ich in dem Restaurant nicht gegessen habe oder ich nicht in Texas war, dann wird der Betrag sofort wieder von meinem Konto gestrichen. In Deutschland mache ich die Erfahrung, dass ich im Alltag fast nie mit Kreditkarte bezahlen kann. Hier sind EC-Karten die Regel, aber ihr Einsatz ist häufig an Mindestkaufsummen von 15 oder 20 Euro geknüpft. In Japan, wo ich auch vier Jahre gelebt habe, läuft es wiederum anders. Da ist neben Barzahlung die Bezahlung über Handy und NFC für bestimmte Zwecke schon längst im Alltag angekommen – allerdings über separate Guthaben-Kontos.
Das Interview führte Christoph Strobel.