Sind Android-Handys sicherer als das iPhone? Die harten Fakten
Der IT-Sicherheitsexperte Marc Ruef kennt den internationalen Handel mit digitalen Waffen, sogenannten Zero Day Exploits. Er erklärt, wie Apple das iPhone besser schützen muss und warum Android-Schwachstellen mehr kosten.
Android-Sicherheitslücken sind mehr wert als iPhone-Sicherheitslücken, findet die US-Firma Zerodium und hat ihre berühmt-berüchtigte Preisliste für Zero Day Exploits angepasst. Die Ankündigung platzte am Dienstag mitten in eine besonders stürmische Phase für Apple: Gerade hatten Sicherheitsforscher von Googles Project Zero über einen breit angelegten Hackerangriff auf iPhones berichtet. Das Sicherheits-Image der Kalifornier ist ziemlich angekratzt.
Der Schweizer IT-Sicherheitsexperte Marc Ruef befasst sich seit vielen Jahren mit dem internationalen Graumarkt, der rund um Computer-Schwachstellen besteht. Nachfolgend gibt er eine Einschätzung zu Googles Android und Apples iOS, und erklärt, was sich ändern muss.
Was halten Sie von der Ankündigung von Zerodium, für Android-Sicherheitslücken erstmals mehr zu bezahlen. Ist das nur ein PR-Stunt?
Marc Ruef: Nein, im Gegenteil. Wir haben 2015 ein Modell veröffentlicht, mit dem man Exploit-Preise berechnen und voraussagen kann. Dieses hat konkret aufgezeigt, dass Android-Exploits irgendwann die Nummer 1 werden.
Laut Zerodium wurde oder wird der Zero-Day-Markt mit iOS-Exploits überflutet. Deckt sich das mit Ihren Recherchen?
Dank unserem Modell müssen wir uns nicht nur auf die Anzahl entdeckter Schwachstellen verlassen, sondern können deren Wert konkret berechnen. Der Exploit-Markt für iOS ist in den letzten 3 Jahren sehr stabil geblieben. Der Android-Markt hingegen hat rapide zugelegt. Es gibt immer mehr und immer durchschlagskräftigere Android-Exploits. Diese sind aufgrund der starken Fragmentierung des Android-Markts bei breitflächigen Angriffen schwierig zuverlässig einzusetzen. Zeitgleich gibt es überproportional viele veraltete Android-Versionen, die noch in Betrieb sind. Die Chancen, dass auch ein alter Exploit noch funktioniert, sind viel höher als bei iOS.
Sie verfolgen den Handel mit Zero-Day-Exploits seit Jahren – ist diese Preisentwicklung logisch?
Die Preise für alle Produkte befinden sich in stetigem Wachstum. iOS war vorzugsweise bei "High Value"-Zielen von Interesse, weshalb die Nachrichtendienste die Preise in die Höhe haben schnellen lassen. Bei Android haben wir jedoch den Effekt, dass hier die überdurchschnittliche Marktdurchdringung für die steigende Preise verantwortlich zeichnet. Dieser Effekt ist wunderbar bei Webbrowsern zu beobachten: Aufgrund der hohen Verbreitung war der Internet Explorer lange Zeit der Spitzenreiter. Die Anzahl Exploits hat jedoch abgenommen und stattdessen hat Microsoft Edge, der Nachfolger, zugelegt. Spitzenreiter ist Google Chrome und wenig attraktiv sind Opera-Exploits.
Laut Zerodium sind insbesondere Safari und iMessage vermehrt angreifbar durch Exploits-Ketten. Was ist hier passiert, beziehungsweise was hat Apple falsch gemacht?
Safari krankt wie jeder andere Browser an seiner Komplexität. Es müssen immer mehr Standards und Funktionen unterstützt werden. Mit dem Ansteigen der Komplexität vergrössert sich auch die Angriffsfläche und mit ihr die Chance, dass eine Schwachstelle ausgenutzt werden kann. Bei iMessage hingegen hat wahrscheinlich das Verständnis der Researcher und Angreifer zugenommen, wie das System funktioniert, es untersucht und angegriffen werden kann.
Der iPhone-Hackerangriff (wohl gegen Uiguren) basierte auf 5 Exploits-Ketten und funktionierte mit einer Vielzahl iPhone-Modellen und System-Versionen. Hat dieser Fall Auswirkungen für den Exploit-Handel?
Der Markt an sich wird sich aufgrund dieser Geschichte, mindestens kurzfristig, nicht verändern. Es stellt sich aber die Frage, ob die eingesetzten Exploits nicht auch noch bei anderen Kampagnen oder durch andere Akteure eingesetzt worden sind. Falls dem so ist, haben diese Exploits unmittelbar an Nutzen und damit an Wert verloren. Ein Exploit, der heute 2 Millionen US-Dollar wert ist, kann morgen fast gar keinen Wert mehr haben. Dafür verantwortlich sind das Erscheinen alternativer Exploits, die öffentliche Bekanntmachung der Schwachstelle oder das Herausgeben einer Gegenmassnahme.
Im jüngsten Posting von Googles Project Zero wurden zum Teil gravierende Mängel im iOS-Code bemängelt. Versagt Apple bei der Qualitätskontrolle?
Bei populären Produkten tritt irgendwann der Effekt ein, dass die meisten zugänglichen Schwachstellen gefunden sind und die Anzahl Veröffentlichungen dementsprechend abnimmt. Bei den populären Apple-Produkten bleibt dieser Effekt bisher aus. Apple täte gut daran, mehr Ressourcen in das präventive Verhindern und eigenständige Finden von Schwachstellen zu investieren, um dem zusätzlich entgegenzuwirken.
Welche eigenen Erfahrungen haben Sie mit Apple gemacht?
Wir haben ebenfalls verschiedene Schwachstellen in iOS gefunden und kennen den Umgang, den Apple mit externen Researchern pflegt. Dieser ist nicht ideal und deutet unter Umständen darauf hin, dass lösungsorientierte Sicherheit keine höchste Priorität hat. Erst vor wenigen Wochen wurde eine Meldung durch uns abgelehnt: Es handle sich nicht um ein Sicherheitsproblem. Um den Druck auf Apple zu erhöhen, werden wir die Schwachstelle öffentlich machen müssen. Technische Details werden wir zurückbehalten, um Angreifern kein Werkzeug in die Hand zu geben.
Erst im August hat Apple sein Bounty-Programm für Sicherheitsforscher erweitert. Das reicht nicht?
Ob eine Schwachstelle einem Hersteller gemeldet oder auf dem Schwarzmarkt zu Geld gemacht wird, ist in erster Linie von den ethischen Anforderungen des Researchers abhängig. Selbstverständlich kann eine höhere Bug-Bounty-Auszahlung motivieren, sich doch lieber zuerst beim Hersteller zu melden.
Hier gibt es jedoch zwei Probleme:
Die Preise sind ein Fass ohne Boden. Wir sagen voraus, dass in den nächsten 10 Jahren die Exploit-Preise im zweistelligen Millionen-Bereich ankommen werden. Die Auszahlungen der Hersteller müssten parallel mitlaufen.
Zudem ist der Hersteller auf das Versprechen des Researchers angewiesen, dass dieser im Nachgang seine Schwachstelle nicht doch noch auf dem Schwarzmarkt zu Geld machen wird. Dies ist technisch aber nicht verhinderbar.
Die mitunter wichtigste Änderung ist, dass das Bug-Bounty-Programm von Apple nun nicht mehr "invite only" ist, sondern nun weitere Researcher ihre Eingaben machen können. Die Hersteller können nur gewinnen, wenn sie mit Kunden und Sicherheitsforschern zusammenarbeiten.
2019 scheint ein besonders schlimmes Jahr für Apple zu werden, was die Sicherheit betrifft. Auch die Jailbreak-Szene feierte ein unerwartetes Comeback (dank unc0ver). Nun wird Apple bald iOS 13 veröffentlichen. Wagen Sie bezüglich Exploits eine Prognose?
Die Rhythmik der Exploits für iOS (Anzahl, Umfang, Veröffentlichung) ist eigentlich seit Jahren gleich. Es sind keine Veränderungen mit iOS 13 zu erwarten. Die grösste Änderung dürfte sein, dass die Exploit-Problematik in der breiten Öffentlichkeit angekommen ist. Diese sollte nun den Druck auf Hersteller aufrecht erhalten, professionell mit Schwachstellen umzugehen. Dies ist leider noch immer keine Selbstverständlichkeit. Auch nicht bei grossen Firmen.
Laut Zerodium soll es sehr schwierig und zeitaufwendig geworden sein, vollständige Exploits-Ketten für Android zu entwickeln, und es sei noch schwieriger, Zero-Click-Exploits zu entwickeln, die keine Benutzerinteraktion erfordern. Was sagen Sie dazu?
In unseren Vorträgen vergleichen wir die Exploit-Marktstrukturen von iOS und Android. Die Zuhörer fragen dann gerne, welches Produkt denn nun sicherer sei. Die Daten zur Marktstruktur lassen jedoch keine verlässlichen Schlüsse zur Sicherheit eines Produkts zu. iOS und Android unterscheiden sich architektonisch, was sich indirekt auch auf die Marktstruktur der Exploits auswirkt: Bei iOS ist es schwieriger, erweiterte Rechte zu erlangen. Hat man diese aber erlangt, kriegt man mit relativ wenig Aufwand vollständige Kontrolle über das Gerät. Bei Android hingegen ist es einfacher, erweiterte Rechte zu erhalten. Das Erlangen der vollständigen Kontrolle ist dafür umso schwieriger. Professionelle Angriffe, sowohl im staatlichen Kontext als auch Cybercrime, setzen oftmals die vollständige Kontrolle eines Smartphones voraus. Zuverlässige Exploit-Ketten können so sehr schnell komplex, aufwändig und teuer werden.
Zerodium hat die neue Exploit-Preisliste praktisch gleichzeitig mit Android 10 veröffentlicht. Sehen Sie da einen Zusammenhang?
Android 10 wird zwar einige Neuerungen in Bezug auf die Sicherheit mitbringen. Ich wage aber zu bezweifeln, dass dies der Grund für die Veröffentlichung der neuen Preisliste ist. Viel eher wollte man wohl von der jüngsten Diskussion zum Thema profitieren.
Teilen Sie die Einschätzung, dass Googles Android-Entwickler wegen der (bei manchen Herstellern) nur verzögert ausgelieferten Updates gezwungen waren, die System-Architektur besser und in der Tiefe abzusichern. Im Vergleich mit iOS, wo Apple innert Tagen ein Notfall-Sicherheits-Update heraushauen kann?
Dies war zu Beginn wohl kaum eine interne Anforderung. Android orientiert sich stattdessen eher an klassischen Betriebssystemen, die zum Beispiel eine Mehrbenutzer-Fähigkeit mitbringen. Diese allein setzt schon voraus, dass das Betriebssystem klare Grenzen etablieren und durchsetzen kann. Eine Anforderung, die bei iOS (noch) nicht gegeben ist. Google dürfte aber über die Jahre hinweg gemerkt haben, dass das eigene Betriebssystem gut und gerne angegriffen wird. Als Reaktion darauf hat es eine Professionalisierung bei der Entwicklung gegeben. Es gibt aber noch viel zu tun, um Android auf einen stabilen Stand zu bringen.
Zum Schluss eine provokative Frage: Sind Android-Smartphones neuerdings sicherer als iPhones?
Nein. Alles ist nur eine Frage des Preises.
Die explosiven Aussagen des Zerodium-Chefs
Nachdem die Security-Broker-Firma Zerodium am Dienstag ihre Preisliste für Exploits angepasst hat, war das Interesse der Tech-Journalisten geweckt. Gegenüber Ars Technica nahm der Firmengründer und CEO Chaouki Bekrar Stellung und sorgte mit seinen Erklärungen für Diskussionsstoff.
Seine wichtigsten Äusserungen:
"In den letzten Monaten haben wir einen Anstieg der Zahl der iOS-Exploits beobachtet, vor allem von Safari und iMessage-Ketten, die von Forschern aus der ganzen Welt entwickelt und verkauft werden. Der Zero-Day-Markt ist so überflutet von iOS-Exploits, dass wir kürzlich begonnen haben, einige von ihnen abzulehnen."
"Andererseits verbessert sich die Android-Sicherheit mit jeder neuen Version des Betriebssystems dank der Sicherheitsteams von Google und Samsung, so dass es sehr schwierig und zeitaufwendig wurde, vollständige Ketten von Exploits für Android zu entwickeln, und es ist noch schwieriger, Zero-Click-Exploits zu entwickeln, die keine Benutzerinteraktion erfordern."
Mit diesem Tweet wurde die neue Preisliste angekündigt:
Dieser Beitrag erschien zuerst auf Watson.ch
Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/Security tun. Der Blog wird laufend aktualisiert.
Zum Nachschlagen:
Das IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.
Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen der einzelnen Schadprogrammen steckt. Mehr auf www.it-markt.ch/MalwareABC.