Wikileaks hat am Donnerstag ein weiteres Paket geheimer CIA-Daten veröffentlicht. Dieses Mal geht es um die Überwachung von Apple-Computern. In insgesamt 12 Dokumenten wird dargelegt, wie die CIA Rechner aus dem Hause Apple mit Schadsoftware infizieren kann.

EFI-Angriffe

Dabei zeigt sich, dass der US-Geheimdienst ein besonderes Interesse an Angriffen gegen die Firmware (EFI) von Macbooks und Co. hat. Der Grund dafür ist auch schnell gefunden: Gelingt es an dieser Stelle einen Trojaner einzubringen, bleibt dieser sogar erhalten, wenn das Betriebssystem komplett neuinstalliert wird. Läuft das EFI doch vollständig unabhängig von macOS, es ist für die grundlegende Hardwareinitialisierung am Anfang des Systemstarts zuständig. Einmal dort verankert, ist es infolge möglich, die eigentliche Spionagesoftware in das Apple-Betriebssystem einzuschmuggeln. Auch das Setzen eines Firmware-Passworts soll laut den Dokumenten keine Abhilfe bringen.

Hintergrund

Ähnliche Angriffe waren in den letzten Jahren immer wieder auf Hacker-Konferenzen demonstriert worden. Interessant ist an dem Leak also vor allem, dass sich die CIA offenbar mit großem Interesse auf diese Forschung gestürzt hat, und solche Attacken aktiv einsetzt. Auch der Angriffspunkt ist dabei ein bekannter, nämlich über die Thunderbolt-Schnittstelle des Macbooks. Daraus resultiert allerdings auch eine entscheidende Einschränkung dieses Hacks: Die Angreifer brauchen nämlich physischen Zugriff auf das Gerät. Ein realistisches Szenario wäre dabei, der Zielperson einen manipulierten Thunderbolt-Ethernet-Adapter unterzujubeln, die CIA nennt dies gewohnt blumig "Sonic Screwdriver".

Macbooks bis 2013 betroffen

Von den offengelegten Spionagemethoden sind Macbooks bis 2013 betroffen, laut Wikileaks weisen jedoch andere Dokumente darauf hin, dass die CIA noch immer an diesen Systemen arbeite. Dies würde auch zur ersten Leak-Welle von CIA-Hacking-Tools passen, bei der einige der Dokumente recht augenscheinlich nicht mehr auf dem aktuellsten Stand waren. Eine Stellungnahme von Apple gibt es zu all dem bisher noch nicht. Allerdings ist bekannt, dass das Unternehmen in der Vergangenheit mehrfach versucht hat die EFI-Sicherheit zu verbessern, um genau solche Angriffe zu unterbinden.

iPhone-Spionage

Einige offene Fragen dürfte auch ein weiteres Dokument aufwerfen, das bei der CIA unter dem Namen "NightSkies" geführt wurde. Geht es darin doch um ein Tool, mit dem iPhones unterwandert werden können. Das Besondere daran: Es geht hier explizit um Angriffe, die bereits in der Fabrik oder irgendwo in der Lieferkette erfolgen, also noch bevor das eigentliche Smartphone ausgeliefert wird.

Unklar ist dabei, ob und in welchem Umfang die CIA solche Methoden tatsächlich benutzt hat. Zudem muss betont werden, dass die aktuellste Version dieses Dokuments bereits aus dem Jahr 2008 stammt und sich entsprechend um das iPhone 3G dreht, es also durchaus sein kann, dass diese Angriffsmethode mittlerweile veraltet ist. Ganz neu wäre so etwas allerdings ohnehin nicht, hatten doch schon die Snowden-Leaks gezeigt, dass die NSA einigen Aufwand betrieben hat, um etwa Netzwerk-Hardware am Transportweg abzufangen und mit Spionagesoftware zu versehen.

Wikileaks hat vor zwei Wochen erstmals geheime Daten aus der Hackerabteilung der CIA unter dem Titel "Vault 7" publiziert. Aus den 8.761 Dokumenten geht hervor, dass die US-Regierungshacker unter anderem iPhones von Apple, Android-Geräte von Google, Software von Microsoft und sogar Samsung-Fernseher zum Abhören nutzen. Nach der Veröffentlichung hieß es, dass die Masse an Daten nur ein Prozent der übermittelten Informationen ausmache. Mittlerweile ist klar, dass es sich dabei um echte Datensätze aus der CIA handelt. So hat das FBI bereits Ermittlungen eingeleitet. US-Präsident Donald Trump verurteilte die Veröffentlichungen scharf, obwohl er Leaks über seine Gegenkandidatin Hillary Clinton regelmäßig im Wahlkampf eingesetzt hatte. (apo, fsc, sum, 23.3.2017)