Bereits vor einiger Zeit hat Apple sein "Bug Bounty Programm" ins Leben gerufen, über das Sicherheitsforscher und Hacker entdeckte Bugs und Sicherheitslücken in Apples Systemen melden können und je nach Schwere hierfür teilweise recht ordentlich entlohnt werden. Eine Gruppe von Hackern hat an diesem Programm teilgenommen und für die 55 entdeckten Sicherheitslücken insgesamt übrt 50.000,- US-Dollar von Apple erhalten. Ihr Erfahrungsbericht gibt nun erstmals einen kleinen Einblick in das Programm und Apples Umgang mit den gemeldeten Lücken.

Insgesamt durchwühlten Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb und Tanner Barnes Apples Systeme drei Monate lang nach Sicherheitslücken, wobei sie auf die angesprochenen 55 Probleme stießen, von denen einige schwerer, andere weniger schwer waren. Vor allem in Bezug auf die eigenen Server, sowie bei Diensten wie iCloud und Co. reagierte Apple auf die besonders schweren gemeldeten Lücken teilweise extrem schnell und stopfte diese innerhalb weniger Stunden.

Overall, Apple was very responsive to our reports. The turn around for our more critical reports was only four hours between time of submission and time of remediation.

Auch in Sachen Entlohnung ließ sich Apple nicht lumpen und zahlte an die Hacker-Gruppe bis zum vergangenen Sonntag bereits 51.500 US-Dollar. Davon entfielen 5.000,- Dollar auf eine Lücke, durch die die Klarnamen von iCloud?-Nutzern abgegriffen werden konnten, 6.000,- Dollar für das Aufspüren von IDOR (Insecure Direct Object Reference) Sicherheitslücken, 6.500,- Dollar für eine Lücke, die das Eindringen in Apples interne Systeme ermöglichte und und 34.000,- Dollar für eine Sicherheitslücke, durch die sich Nutzerdaten abgreifen ließen.

Insgesamt loben die Hacker die Zusammenarbeit mit Apple im Rahmen des "Bug Bounty" Programms. Das Programm sei ein Schritt in die absolut richtige Richtung und Apple zeigte sich nicht nur äußerst schnell bei der Behebung der Lücken, sondern auch durchaus kommunikativ gegenüber den Hackern. Mit Apples Erlaubnis hat die Gruppe um Sam Curry nun einen ausführlichen Bericht veröffentlicht, aus dem diverse weitere Details hervorgehen und der absolut einen Abstecher wert ist.

Die schlechten Nachrichten für Intel reißen dieser Tage einfach nicht ab. Nachdem erst kürzlich Twitter Opfer eines Hacker-Angriffs war, trifft dies nun auch auf den Chip-Hersteller zu. Anders als bei anderen Hacks über das Internet wurden dabei zwar keine Nutzerdaten kompromittiert, dafür konnten sich die Angreifer brisantes Material von Intel selbst beschaffen. Der Angriff soll schon einige Zeit zurückliegen, jetzt haben die Angreifer jedoch die ersten 20 GB der erbeuteten Daten im Internet veröffentlicht. Darunter befinden sich verschiedene Details zu den bei Intel entwickelten Chips, proprietärer Code, der BIOS-Code für die Kaby Lake Plattform oder auch detaillierte Informationen zur Hardware der Chips. Auch die die Kameratreiber für die SpaceX Rakete befinden sich interessanterweise unter den Daten.

Zudem wurde auch die Firmware für Intels kommende "Tiger Lake" Plattform veröffentlicht, wodurch sich Angreifer bereits einen Überblick über den Quellcode verschaffen und entsprechende Angriffe vorbereiten können, ehe die ersten Computer mit "Tiger Lake" Prozessoren überhaupt erscheinen. Die Probleme durch den Datenabgriff werden also vermutlich erst in der Zukunft komplett zu greifen sein. Für Apple-Nutzer könnten die Auswirkungen eher gering ausfallen, sollte das Unternehmen auf "Tiger Lake" verzichten und stattdessen direkt auf seine neuen "Apple Silicon" Prozessoren schwenken. Möglicherweise könnten sich aber auch Sicherheitsprobleme mit den bestehenden und auch in Macs verbauten Architekturen ergeben.

Während ein solcher Vorfall grundsätzlich zu bedauern ist, muss man den schwarzen Peter allerdings auch ein Stück weit bei Intel selbst sehen. Offenbar wurde dort nämlich auch für vertrauliche Dokumente grundsätzlich das Passwort "intel123" verwendet. Angeblich sollen die Hacker über weitere Daten verfügen, die sie beabsichtigen, ebenfalls in der Zukunft zu veröffentlichen. Das aktuelle Inhaltsverzeichnis der abgegriffenen Daten umfasst die folgenden Punkte:

• Intel ME Bringup guides + (flash) tooling + samples for various platforms
• Kabylake (Purley Platform) BIOS Reference Code and Sample Code + Initialization code (some of it as exported git repos with full history)
• Intel CEFDK (Consumer Electronics Firmware Development Kit (Bootloader stuff)) SOURCES
• Silicon / FSP source code packages for various platforms
• Various Intel Development and Debugging Tools
• Simics Simulation for Rocket Lake S and potentially other platforms
• Various roadmaps and other documents
• Binaries for Camera drivers Intel made for SpaceX
• Schematics, Docs, Tools + Firmware for the unreleased Tiger Lake platform
• (very horrible) Kabylake FDK training videos
• Intel Trace Hub + decoder files for various Intel ME versions
• Elkhart Lake Silicon Reference and Platform Sample Code
• Some Verilog stuff for various Xeon Platforms, unsure what it is exactly.
• Debug BIOS/TXE builds for various Platforms
• Bootguard SDK (encrypted zip)
• Intel Snowridge / Snowfish Process Simulator ADK
• Various schematics
• Intel Marketing Material Templates (InDesign)

Vor einigen Tagen wurden verschiedene hochrangige Unternehmen (darunter auch Apple), Prominente und Privatpersonen Opfer eines Twitter-Hacks, der offenbar durch einen Insider-Job durchgeführt wurde. Am heutigen Abend gab es nun die ersten Festnahmen in diesem Fall, bei denen die Drahtzieher hinter dem Angriff festgesetzt wurden. Wie Channel 8 News berichtet, soll ein 17-jähriger Teenager aus Florida das "Mastermind" hinter dem Angriff gewesen sein. Graham Clark werden nun 30 Klagen angheftet, zu denen er sich verantworten muss. Neben Clark wurden zudem der 22-jährige Nima Fazeli aus Orlando nd der 19-jährige Mason Sheppard aus Großbritannien im Zusammenhang mit dem Angriff verhaftet. Sheppard brohen bis zu 45 Jahre Gefängnis, bei Fazeli sind es bis zu fünf Jahre. Da Graham Clark noch nicht volljährig ist, geben die Strafverfolgungsbehörden zu ihm derzeit keine Stellungnahme ab.

Wie Twitter inzwischen vermeldete, vermutet man einen "Phone Spear Phishing" Angriff hinter dem Hack. Hierbei sollen die Angreifer Twitter-Mitarbeiter angerufen und sie dazu gebracht haben zu glauben, dass sie mit einem Kollegen sprechen würden. Hierdurch verschafften sich die Angreifer Zugriff auf die internen Twitter.Systeme, über die dann die verschiedenen Konten kompromittiert wurden. Neben Apple waren unter anderem auch die Konten von Tesla CEO Elon Musk, dem ehemaligen US-Präsidenten Barack Obama, Bill Gates, Amazon CEO Jeff Bezos und dem US-Präsidentschaftskandidaten Joe Biden betroffen.

Dem Staatsanwalt von Hillsborough, Andrew Warren zufolge konnte sich Graham Clark auf diese Weise mehr als 100.000 US-Dollar in Bitcoins sichern. Twitter zeigte sich indes erfreut über das schnelle Handeln der Strafverfolgungsbehörden in Florida. Man werde die internen Prozesse und Systeme weiter verbessern, um derlei Angriffe künftig zu verhindern.

We appreciate the swift actions of law enforcement in this investigation and will continue to cooperate as the case progresses. For our part, we are focused on being transparent and providing updates regularly.

For the latest, see here ???? https://t.co/kHty8TXaly

— Twitter Comms (@TwitterComms) July 31, 2020

Manch einer mag sich noch an den März 2017 zurückerinnern. Damals sorgte eine Hacker-Gruppe namens "Turkish Crime Family" für Aufsehen, als man öffentlich erklärte, mehrere Millionen iCloud-Konten als Geiseln genommen zu haben und Apple zu einer Zahlung von zunächst 75.000,- US-Dollar, später dann sogar 100.000,- Dollar in Kryptowährung als Lösegeld aufforderte. Apple reagierte damals mit der Erklärung, dass es keine Einbrüche in die eigenen Systeme gegeben habe und die Zugangsdaten eher aus einer Kompromittierung eines anderen Dienste stammen würden. Die meisten der betroffenen Accounts seien zudem inzwischen inaktiv.

Nun berichtet Bloomberg, dass sich ein 22-jähriger, der sich als Sprecher der "Turkish Crime Family" ausgibt, vor einem Gericht in London schuldig bekannt habe. Durch das Geständnis, in dem der junge Mann namens Kerem Albayrak angab, er habe die Tat aus Sucht nach Ruhm im Internet ausgeübt, vermied er eine Gefängnisstrafe und wurde stattdessen zu zwei Jahren auf Bewährung verurteilt. Zudem darf er sechs Monate lange keine Computer nutzen und muss 300 Stunden gemeinnützige Arbeit verrichten.

Apple hat in der vergangenen Nacht auf der Black Hat Konferenz in Las Vegas eine Ausweitung seines Bug Bounty Programms bekanntgegeben. Wurden seit August 2016 lediglich Prämien für das Entdecken von Bugs in iOS ausgelobt, umfasst das Programm nun auch die anderen Betriebssysteme macOS, tvOS und watchOS sowie iCloud. Das neue Programm steht sämtlichen Sicherheitsforschern und allen interessierten und technisch begabten Nutzern zur Verfügung, die eine Schwachstelle in Apples Software entdecken offen und umfasst einen maximalen Auszahlungsbetrag von nun 1 Million Dollar (ehemals 200.000,- Dollar) pro entdeckter Lücke, je nach Schwere des Bugs. Meldet man Apple das Problem noch während der Betaphase einer Software, kann man hierauf sogar noch einmal maximal 50% Aufschlag verdienen.

Anfang der Woche gab es bereits Meldungen, wonach Apple ausgewählte Sicherheitsforscher auch mit speziellen Versionen des iPhones, sogenannten "Dev Devices" ausstatten wird, mit denen es leichter ist, Fehler im System zu finden. Wie Apple nun ankündigte, werden diese iPhones in der Tat ausgegeben und zwar im Rahmen des neuen, im kommenden Jahr startenden "iOS Security Research Device Program". Apple möchte auf diese Weise weitere Sicherheitsforscher und Hacker dazu motivieren, sich auf die Suche nach Fehlern in seinen Systemen zu begeben und diese vor dem öffentlichen Bekanntwerden an das Unternehmen zu melden, so dass sie schnellstmöglich behoben werden können. (via MacRumors)

In den vergangenen Monaten machten vor allem Sicherheitsunternehmen aus Israel Schlagzeilen, da es diesen immer wieder gelingt, Hardwareboxen zu entwickeln, die in der Lage sind, gesperrte iPhones zu knacken und Daten von diesen zu extrahieren. Während Apple auch in der Vergangenheit immer wieder gegen diese Maßnahmen vorgegangen ist, zieht man in Cupertino die Zügel nun offenbar noch ein wenig mehr an. So berichtet Forbes, dass Apple plant, Sicherheitsforschern spezielle iPhones zur Verfügung stellen, die sogenannten "Dev Devices" ähneln sollen. Diese sind längst nicht so eingeschränkt, wie es die Geräte sind, die in den Handel kommen. Auf diese Weise soll es den Forschern leichter fallen, Bugs zu finden, damit Apple diese frühzeitig beheben kann.

Apple soll die Ankündigung für das neue Programm auf der aktuell in Las Vegas stattfindenden Black Hat Sicherheitskonferenz bekanntgeben. Gleichzeitig soll auch ein neues Belohnungsprogramm für macOS ins Leben gerufen werden, durch das Hacker und Sicherheitsforscher belohnt werden, wenn sie einen Bug in Apples Mac-Betriebssystem finden und diesen an Apple melden.

Vor einigen Wochen sorgte ein Artikel von Bloomberg für Aufsehen, in dem man berichtete, dass die chinesische Regierung angeblich in Servern von Supermicro winzig kleine Spionage-Chips eingebaut habe, die in der Lage waren, Daten von den Servern abzugreifen und direkt auch noch zu verschicken. Unter anderem soll Apple betroffen gewesen sein entsprechende Server bei sich betrieben und darin auch die angesprochenen Chips gefunden haben. Apple dementierte jedoch umgehend und stellte den Bloomberg-Bericht als frei erfunden dar.

Der betroffene Server-Hersteller, also Supermicro hat in der Zwischenzeit die unabhängige Analysefirma Nardello & Co. engagiert, damit diese sich die angeblich kompromittieren Serverboards einmal genauer ansieht. Diese Untersuchtung ist nun abgeschlossen mit dem Ergebnis, dass man keine Spur von irgendeiner manipulierten Spionage-Hardware in den Geräten gefunden habe. Dies gilt nicht nur für aktuelle Modelle, sondern auch für diejenigen, die on dem Bericht von Bloomberg explizit genannt wurden. Weder konnte man Hardware selbst, noch Softwarekomponenten oder Designentwürfe ausmachen, die die Existenz der Spionage-Chips nahelegen würden. (via Reuters)

Damit gerät Bloomberg ohne Zweifel weiter unter Druck, zumal man nach den Dementis von Apple und Co. weiter steif und fest an seiner Story festhielt. Auch heute noch, am Tage der Bekanntgabe der Untersuchungsergebnisse, lässt sich der Bericht online einsehen. Es bleibt also weiterhin ein Rätsel, warum ein solch angesehendes Unternehmen wie Bloomberg mit einer inzwischen von meheren Seiten dementierten und widerlegten Geschichte an seinem eigenen Ruf kratzt.

Die von Bloomberg Businesswire aufgeworfene Story um angebliche Spionage-Chips auf in China gefertigten Motherboards, die auch im Apple-Netzwerk zum Einsatz gekommen sein sollen, nimmt immer skurrilere Züge an. Nun hat sich eine der von der Publikation angeführten 17 Insider-Quellen zu Wort gemeldet und zu Protokoll gegeben, dass seine Aussagen aus dem Kontext gerissen worden seien und er Bloomberg vielmehr mitgeteilt habe, dass die gesamte Geschichte eigentlich keinen Sinn ergibt. Dabei handelt es sich um den Sicherheits-Experten Joe Fitzpatrick, der in dem ursprünglichen Bericht mit den Worten zitiert wurde: "The hardware opens whatever door it wants."

Gegenüber dem Technik-Podcast Risky Business (via 9to5Mac) zeichnet er seine Aussage nun aber in einem anderen Bild. Demnach habe Fitzpatrick gegenüber Bloomberg ausführlich erläutert, wie eine solche Attacke in der Theorie ablaufen könnte. Dabei soll es nach seiner Aussage aber nie um einen tatsächlich im Raum stehenden Angriff im Zusammenhang mit der Supermicro-Affäre gegangen sein. Als er vom Bloomberg-Redakteur Jordan Robertson dann schließlich auf die angeblichen Spionage-Chips aus China angesprochen wurde, soll Fitzpatrick erwidert haben: "It doesn’t make sense to me."

Diese Aussage basiert laut Fitzpatrick vor allem darauf, dass er die beschriebene Methode für deutlich zu aufwändig hält und es einfachere Wege gibt, über die Firmware eines Motherboards eine Hintertür in einen Server einzubauen:

Are you sure there is actually an additional hardware component […] It’s trivial to modify the firmware of most BMC and many of them are trivial to exploit remotely because of the poor quality outdated software they run. The attack you describe could easily be implemented in BMC firmware. Would be just as stealthy and far less costly to design and implement. If they were really implants, are you sure they were malicious?