Manfred Kloiber: Mittwoch dieser Woche wurde in aller Öffentlichkeit das iPhone geknackt. Passiert ist das im kanadischen Vancouver und Anlass war ein ziemlich angesehener Hacker-Wettbewerb. Der iPhone-Hack war unerwartet, denn bis Mittwoch dieser Woche war es tatsächlich bislang nicht gelungen, das beliebte Smartphone zu knacken und so an die Daten der Benutzer zu kommen. Wie haben die Hacker das denn geschafft, Peter Welchering?
Peter Welchering: Naja, nach allen hier vorliegenden Informationen haben die einfach eine schon drei Jahre alte und ziemlich bekannte Hacking-Technologie eingesetzt und ein iPhone dann so manipuliert, dass ein eingeschleuster Algorithmus – also man kann auch Schadsoftware sagen – auf dem iPhone ausgeführt wurde und in Vancouver haben die beiden Computerwissenschaftler Vincenco Iozzo und Ralph Philipp Weinmann eben eine Schadsoftware, die sie geschrieben hatten, aufs iPhone geschmuggelt, mit der sie dann aus dem geknackten iPhone die Datenbank mit allen SMS-Daten einfach runterkopiert haben.
Kloiber: Kann denn mit der in Kanada gezeigten Hacking-Methode noch mehr gemacht werden außer Daten zu stehlen?
Welchering: Ja klar. Damit kann so ziemlich alles gemacht werden, denn das iPhone ist ja wirklich geknackt worden. Die sind auf die Systemebene gekommen und wenn man da erstmal Schadsoftware auf dem System selbst aufbringen kann, dann kann mit einem auf diese Weise geknackten iPhone wirklich alles Mögliche angestellt werden. Da können persönliche Daten gestohlen werden, da können teure Verbindungen aufgebaut werden, da kann Mail abgefangen werden. Und natürlich – weil es immer noch auch ein Handy ist – so ein iPhone lässt sich dann sogar als Wanze benutzen. Also ein gehacktes iPhone, das ist eigentlich im Besitz des Hackers, der seine Software auf das Gerät gespielt hat.
Kloiber: Und wie haben die beiden Computerwissenschaftler dieses iPhone geknackt?
Welchering: Mit diesen Informationen sind sie etwas zurückhaltend und auch die Organisatoren des Wettbewerbs haben auf Anfrage erstmal darauf hingewiesen, dass sie die Angriffsdetails erstmal an Apple weitergegeben haben und die Details, die würden erst dann veröffentlicht, wenn Apple den Fehler korrigiert und die Sicherheitslücke auf dem iPhone geschlossen hat. Aber eines weiß man: Die beiden Computerexperten haben eine Angriffsstrategie gewählt, die Hovav Shacham schon im Jahr 2007 gezeigt hat. Damals hat das relativ viel Aufsehen verursacht und die Methode nennt sich – schlimmes Wort jetzt – return-into-libc. Also es geht um diese Funktionssammlung libc in der Programmiersprache C und das funktioniert relativ einfach. Software besteht ja aus recht vielen Unterprogrammen oder Softwaremodulen und deshalb muss eben einfach häufig aus einem Unterprogramm in ein anderes gesprungen werden, während das Programm läuft. Und die Stellen, von denen aus einem solchen Unterprogramm dann weggesprungen wird und die Stellen, wo hingesprungen wird, also wo man dann quasi landet, und wohin nach erledigter Rechenaufgabe dann wieder zurückgesprungen werden muss – die werden eben in einem speziellen Speicherbereich verwaltet. Und wenn ich einfach in diesen Speicherbereich reingehe und statt einer Rücksprungadresse, die das iPhone-System dort gespeichert hat, eine andere angebe, dann kann eine Schadfunktion, dann kann eine Schadsoftware ausgeführt werden und das haben eben Vincenco Iozzo und Ralph Philipp Weinmann nach den bisher vorliegenden Informationen auch genauso gemacht und die Funktion, die sie dann in Vancouver gezeigt haben, das war eben die Funktion: Stiehl die Datenbank mit den SMS-Daten. Man kann aber auch beliebe andere Funktionen, also jede Schadsoftware da ausführen lassen.
Kloiber: Aber dazu müssen die Hacker, wie Sie ja erklärt haben, erst einmal in diesen Speicherbereich kommen, in dem die Sprungadressen verwaltet werden. Wie haben die das denn gemacht?
Welchering: Haben sie nicht gesagt. Aber nach dem, was bekannt geworden ist, durch einen Speicherüberlauf, also durch die ganz klassische Methode wie auch bei ... Service-Angriffen, da wird das ja auch immer gemacht. Das ist allerdings noch nicht bestätigt worden. Aber die Informationen, die aus Vancouver nach Europa gekommen sind, die lauten so: Sprungadressen haben nun mal eine bestimmte Länge. Und wenn nun mit dem iPhone auf eine bestimmte Webseite gesurft wird, dann werden ganz unterschiedliche Parameter dieser Adresse von der Webseite, also von der Webadresse mit übermittelt an das iPhone. Und wenn jetzt die Systemprogramme des Endgeräts, also in diesem Fall eben des iPhones, die Länge von Eingabevariablen nicht überprüfen, dann kann so eine Variable mit der Webadresse mitübergeben werden und diese Variable kann länger sein als die üblichen Rücksprungadressen, mit denen das Endgerät sonst arbeitet, also das iPhone arbeitet. Und dann kann eben eine Rücksprungadresse, die weit, weit über und hinter der erwarteten Eingabevariable liegt, einfach überschrieben werden. Also klassischer Weise funktioniert so ein Speicherüberlauf und der ist hier wohl auch gemacht worden. Und dann bin ich eben in dem Speicherbereich, in dem die Rücksprungadressen auch verwaltet werden.
Kloiber: Der Angriff oder dieser Test, der war auf das beliebteste im Moment verfügbare Smartphone. Geht das aber auch mit anderen Smartphones?
Welchering: Das geht mit allen Smartphones und anfällig sind vor allen Dingen Smartphones, die eben diese Funktionssammlung mit dem Namen libc der Programmiersprache C verwenden – das tun die meisten. Und dann kommt noch hinzu, dass es irgendeine Art von Sicherheitslücke geben muss, über die dann so ein Speicherüberlauf erzeugt werden kann. Und da gibt es bei den meisten Smartphones auch so drei, vier Sicherheitslücken, die eigentlich auch schon diskutiert werden.
Kloiber: Peter Welchering über Datenlecks bei Smartphones. Vielen Dank.
Peter Welchering: Naja, nach allen hier vorliegenden Informationen haben die einfach eine schon drei Jahre alte und ziemlich bekannte Hacking-Technologie eingesetzt und ein iPhone dann so manipuliert, dass ein eingeschleuster Algorithmus – also man kann auch Schadsoftware sagen – auf dem iPhone ausgeführt wurde und in Vancouver haben die beiden Computerwissenschaftler Vincenco Iozzo und Ralph Philipp Weinmann eben eine Schadsoftware, die sie geschrieben hatten, aufs iPhone geschmuggelt, mit der sie dann aus dem geknackten iPhone die Datenbank mit allen SMS-Daten einfach runterkopiert haben.
Kloiber: Kann denn mit der in Kanada gezeigten Hacking-Methode noch mehr gemacht werden außer Daten zu stehlen?
Welchering: Ja klar. Damit kann so ziemlich alles gemacht werden, denn das iPhone ist ja wirklich geknackt worden. Die sind auf die Systemebene gekommen und wenn man da erstmal Schadsoftware auf dem System selbst aufbringen kann, dann kann mit einem auf diese Weise geknackten iPhone wirklich alles Mögliche angestellt werden. Da können persönliche Daten gestohlen werden, da können teure Verbindungen aufgebaut werden, da kann Mail abgefangen werden. Und natürlich – weil es immer noch auch ein Handy ist – so ein iPhone lässt sich dann sogar als Wanze benutzen. Also ein gehacktes iPhone, das ist eigentlich im Besitz des Hackers, der seine Software auf das Gerät gespielt hat.
Kloiber: Und wie haben die beiden Computerwissenschaftler dieses iPhone geknackt?
Welchering: Mit diesen Informationen sind sie etwas zurückhaltend und auch die Organisatoren des Wettbewerbs haben auf Anfrage erstmal darauf hingewiesen, dass sie die Angriffsdetails erstmal an Apple weitergegeben haben und die Details, die würden erst dann veröffentlicht, wenn Apple den Fehler korrigiert und die Sicherheitslücke auf dem iPhone geschlossen hat. Aber eines weiß man: Die beiden Computerexperten haben eine Angriffsstrategie gewählt, die Hovav Shacham schon im Jahr 2007 gezeigt hat. Damals hat das relativ viel Aufsehen verursacht und die Methode nennt sich – schlimmes Wort jetzt – return-into-libc. Also es geht um diese Funktionssammlung libc in der Programmiersprache C und das funktioniert relativ einfach. Software besteht ja aus recht vielen Unterprogrammen oder Softwaremodulen und deshalb muss eben einfach häufig aus einem Unterprogramm in ein anderes gesprungen werden, während das Programm läuft. Und die Stellen, von denen aus einem solchen Unterprogramm dann weggesprungen wird und die Stellen, wo hingesprungen wird, also wo man dann quasi landet, und wohin nach erledigter Rechenaufgabe dann wieder zurückgesprungen werden muss – die werden eben in einem speziellen Speicherbereich verwaltet. Und wenn ich einfach in diesen Speicherbereich reingehe und statt einer Rücksprungadresse, die das iPhone-System dort gespeichert hat, eine andere angebe, dann kann eine Schadfunktion, dann kann eine Schadsoftware ausgeführt werden und das haben eben Vincenco Iozzo und Ralph Philipp Weinmann nach den bisher vorliegenden Informationen auch genauso gemacht und die Funktion, die sie dann in Vancouver gezeigt haben, das war eben die Funktion: Stiehl die Datenbank mit den SMS-Daten. Man kann aber auch beliebe andere Funktionen, also jede Schadsoftware da ausführen lassen.
Kloiber: Aber dazu müssen die Hacker, wie Sie ja erklärt haben, erst einmal in diesen Speicherbereich kommen, in dem die Sprungadressen verwaltet werden. Wie haben die das denn gemacht?
Welchering: Haben sie nicht gesagt. Aber nach dem, was bekannt geworden ist, durch einen Speicherüberlauf, also durch die ganz klassische Methode wie auch bei ... Service-Angriffen, da wird das ja auch immer gemacht. Das ist allerdings noch nicht bestätigt worden. Aber die Informationen, die aus Vancouver nach Europa gekommen sind, die lauten so: Sprungadressen haben nun mal eine bestimmte Länge. Und wenn nun mit dem iPhone auf eine bestimmte Webseite gesurft wird, dann werden ganz unterschiedliche Parameter dieser Adresse von der Webseite, also von der Webadresse mit übermittelt an das iPhone. Und wenn jetzt die Systemprogramme des Endgeräts, also in diesem Fall eben des iPhones, die Länge von Eingabevariablen nicht überprüfen, dann kann so eine Variable mit der Webadresse mitübergeben werden und diese Variable kann länger sein als die üblichen Rücksprungadressen, mit denen das Endgerät sonst arbeitet, also das iPhone arbeitet. Und dann kann eben eine Rücksprungadresse, die weit, weit über und hinter der erwarteten Eingabevariable liegt, einfach überschrieben werden. Also klassischer Weise funktioniert so ein Speicherüberlauf und der ist hier wohl auch gemacht worden. Und dann bin ich eben in dem Speicherbereich, in dem die Rücksprungadressen auch verwaltet werden.
Kloiber: Der Angriff oder dieser Test, der war auf das beliebteste im Moment verfügbare Smartphone. Geht das aber auch mit anderen Smartphones?
Welchering: Das geht mit allen Smartphones und anfällig sind vor allen Dingen Smartphones, die eben diese Funktionssammlung mit dem Namen libc der Programmiersprache C verwenden – das tun die meisten. Und dann kommt noch hinzu, dass es irgendeine Art von Sicherheitslücke geben muss, über die dann so ein Speicherüberlauf erzeugt werden kann. Und da gibt es bei den meisten Smartphones auch so drei, vier Sicherheitslücken, die eigentlich auch schon diskutiert werden.
Kloiber: Peter Welchering über Datenlecks bei Smartphones. Vielen Dank.