Manch einer mag sich noch an den März 2017 zurückerinnern. Damals sorgte eine Hacker-Gruppe namens "Turkish Crime Family" für Aufsehen, als man öffentlich erklärte, mehrere Millionen iCloud-Konten als Geiseln genommen zu haben und Apple zu einer Zahlung von zunächst 75.000,- US-Dollar, später dann sogar 100.000,- Dollar in Kryptowährung als Lösegeld aufforderte. Apple reagierte damals mit der Erklärung, dass es keine Einbrüche in die eigenen Systeme gegeben habe und die Zugangsdaten eher aus einer Kompromittierung eines anderen Dienste stammen würden. Die meisten der betroffenen Accounts seien zudem inzwischen inaktiv.

Nun berichtet Bloomberg, dass sich ein 22-jähriger, der sich als Sprecher der "Turkish Crime Family" ausgibt, vor einem Gericht in London schuldig bekannt habe. Durch das Geständnis, in dem der junge Mann namens Kerem Albayrak angab, er habe die Tat aus Sucht nach Ruhm im Internet ausgeübt, vermied er eine Gefängnisstrafe und wurde stattdessen zu zwei Jahren auf Bewährung verurteilt. Zudem darf er sechs Monate lange keine Computer nutzen und muss 300 Stunden gemeinnützige Arbeit verrichten.

Apple hat in der vergangenen Nacht auf der Black Hat Konferenz in Las Vegas eine Ausweitung seines Bug Bounty Programms bekanntgegeben. Wurden seit August 2016 lediglich Prämien für das Entdecken von Bugs in iOS ausgelobt, umfasst das Programm nun auch die anderen Betriebssysteme macOS, tvOS und watchOS sowie iCloud. Das neue Programm steht sämtlichen Sicherheitsforschern und allen interessierten und technisch begabten Nutzern zur Verfügung, die eine Schwachstelle in Apples Software entdecken offen und umfasst einen maximalen Auszahlungsbetrag von nun 1 Million Dollar (ehemals 200.000,- Dollar) pro entdeckter Lücke, je nach Schwere des Bugs. Meldet man Apple das Problem noch während der Betaphase einer Software, kann man hierauf sogar noch einmal maximal 50% Aufschlag verdienen.

Anfang der Woche gab es bereits Meldungen, wonach Apple ausgewählte Sicherheitsforscher auch mit speziellen Versionen des iPhones, sogenannten "Dev Devices" ausstatten wird, mit denen es leichter ist, Fehler im System zu finden. Wie Apple nun ankündigte, werden diese iPhones in der Tat ausgegeben und zwar im Rahmen des neuen, im kommenden Jahr startenden "iOS Security Research Device Program". Apple möchte auf diese Weise weitere Sicherheitsforscher und Hacker dazu motivieren, sich auf die Suche nach Fehlern in seinen Systemen zu begeben und diese vor dem öffentlichen Bekanntwerden an das Unternehmen zu melden, so dass sie schnellstmöglich behoben werden können. (via MacRumors)

In den vergangenen Monaten machten vor allem Sicherheitsunternehmen aus Israel Schlagzeilen, da es diesen immer wieder gelingt, Hardwareboxen zu entwickeln, die in der Lage sind, gesperrte iPhones zu knacken und Daten von diesen zu extrahieren. Während Apple auch in der Vergangenheit immer wieder gegen diese Maßnahmen vorgegangen ist, zieht man in Cupertino die Zügel nun offenbar noch ein wenig mehr an. So berichtet Forbes, dass Apple plant, Sicherheitsforschern spezielle iPhones zur Verfügung stellen, die sogenannten "Dev Devices" ähneln sollen. Diese sind längst nicht so eingeschränkt, wie es die Geräte sind, die in den Handel kommen. Auf diese Weise soll es den Forschern leichter fallen, Bugs zu finden, damit Apple diese frühzeitig beheben kann.

Apple soll die Ankündigung für das neue Programm auf der aktuell in Las Vegas stattfindenden Black Hat Sicherheitskonferenz bekanntgeben. Gleichzeitig soll auch ein neues Belohnungsprogramm für macOS ins Leben gerufen werden, durch das Hacker und Sicherheitsforscher belohnt werden, wenn sie einen Bug in Apples Mac-Betriebssystem finden und diesen an Apple melden.

Vor einigen Wochen sorgte ein Artikel von Bloomberg für Aufsehen, in dem man berichtete, dass die chinesische Regierung angeblich in Servern von Supermicro winzig kleine Spionage-Chips eingebaut habe, die in der Lage waren, Daten von den Servern abzugreifen und direkt auch noch zu verschicken. Unter anderem soll Apple betroffen gewesen sein entsprechende Server bei sich betrieben und darin auch die angesprochenen Chips gefunden haben. Apple dementierte jedoch umgehend und stellte den Bloomberg-Bericht als frei erfunden dar.

Der betroffene Server-Hersteller, also Supermicro hat in der Zwischenzeit die unabhängige Analysefirma Nardello & Co. engagiert, damit diese sich die angeblich kompromittieren Serverboards einmal genauer ansieht. Diese Untersuchtung ist nun abgeschlossen mit dem Ergebnis, dass man keine Spur von irgendeiner manipulierten Spionage-Hardware in den Geräten gefunden habe. Dies gilt nicht nur für aktuelle Modelle, sondern auch für diejenigen, die on dem Bericht von Bloomberg explizit genannt wurden. Weder konnte man Hardware selbst, noch Softwarekomponenten oder Designentwürfe ausmachen, die die Existenz der Spionage-Chips nahelegen würden. (via Reuters)

Damit gerät Bloomberg ohne Zweifel weiter unter Druck, zumal man nach den Dementis von Apple und Co. weiter steif und fest an seiner Story festhielt. Auch heute noch, am Tage der Bekanntgabe der Untersuchungsergebnisse, lässt sich der Bericht online einsehen. Es bleibt also weiterhin ein Rätsel, warum ein solch angesehendes Unternehmen wie Bloomberg mit einer inzwischen von meheren Seiten dementierten und widerlegten Geschichte an seinem eigenen Ruf kratzt.

Die von Bloomberg Businesswire aufgeworfene Story um angebliche Spionage-Chips auf in China gefertigten Motherboards, die auch im Apple-Netzwerk zum Einsatz gekommen sein sollen, nimmt immer skurrilere Züge an. Nun hat sich eine der von der Publikation angeführten 17 Insider-Quellen zu Wort gemeldet und zu Protokoll gegeben, dass seine Aussagen aus dem Kontext gerissen worden seien und er Bloomberg vielmehr mitgeteilt habe, dass die gesamte Geschichte eigentlich keinen Sinn ergibt. Dabei handelt es sich um den Sicherheits-Experten Joe Fitzpatrick, der in dem ursprünglichen Bericht mit den Worten zitiert wurde: "The hardware opens whatever door it wants."

Gegenüber dem Technik-Podcast Risky Business (via 9to5Mac) zeichnet er seine Aussage nun aber in einem anderen Bild. Demnach habe Fitzpatrick gegenüber Bloomberg ausführlich erläutert, wie eine solche Attacke in der Theorie ablaufen könnte. Dabei soll es nach seiner Aussage aber nie um einen tatsächlich im Raum stehenden Angriff im Zusammenhang mit der Supermicro-Affäre gegangen sein. Als er vom Bloomberg-Redakteur Jordan Robertson dann schließlich auf die angeblichen Spionage-Chips aus China angesprochen wurde, soll Fitzpatrick erwidert haben: "It doesn’t make sense to me."

Diese Aussage basiert laut Fitzpatrick vor allem darauf, dass er die beschriebene Methode für deutlich zu aufwändig hält und es einfachere Wege gibt, über die Firmware eines Motherboards eine Hintertür in einen Server einzubauen:

Are you sure there is actually an additional hardware component […] It’s trivial to modify the firmware of most BMC and many of them are trivial to exploit remotely because of the poor quality outdated software they run. The attack you describe could easily be implemented in BMC firmware. Would be just as stealthy and far less costly to design and implement. If they were really implants, are you sure they were malicious?

Und auch am Wochenende gehen die Diskussionen um den Bericht von Bloomberg Businessweek vom Ende der vergangenen Woche weiter. Darin hatte die renommierte Publikation über angebliche Spionage-Chips auf in China produzierten Server-Motherboards berichtet, die auch bei Apple zum Einsatz gekommen sein sollen. Nachdem Apple die darin getätigten Aussagen, wonach das hauseigene Security-Team die Chips entdeckt habe, bereits vehement dementiert und dabei auch betont hatte, unter keinerlei Verschwiegenheitsklausel wegen der angeblichen Ermittlungen zu stehen, mehren sich die Unterstützer Cupertinos. Nachdem bereits das britische National Cyber Security Centre Apples Aussagen unterstützt hatte, tu dies nun auch das US-amerikanische Department of Homeland Security, welches in einem Statement am gestrigen Abend betonte, dass man keinerlei Ansatzpunkte habe, um die Aussagen von Apple anzuzweifeln. In dem Statement heißt es:

The Department of Homeland Security is aware of the media reports of a technology supply chain compromise. Like our partners in the UK, the National Cyber Security Centre, at this time we have no reason to doubt the statements from the companies named in the story. Information and communications technology supply chain security is core to DHS's cybersecurity mission and we are committed to the security and integrity of the technology on which Americans and others around the world increasingly rely. Just this month – National Cybersecurity Awareness Month – we launched several government-industry initiatives to develop near- and long-term solutions to manage risk posed by the complex challenges of increasingly global supply chains. These initiatives will build on existing partnerships with a wide range of technology companies to strengthen our nation's collective cybersecurity and risk management efforts.

Neben den offiziellen Behörden meldeten sich inzwischen auch immer mehr hochrangige Apple-Mitarbeiter gegenüber BuzzFeed News zu Wort. Die anonymen Mitarbeiter bekräftigten dabei Apples markige Worte, mit denen das Unternehmen die Meldungen zurückgewiesen hat. Bei Apple könne sich niemand erklären, wie Bloomberg auf seine Aussagen gekommen sein könnte. Teilweise könne man sich nicht mal vorstellen, dass ein solcher Chip, wie er in dem Bloomberg-Bericht beschrieben wird, überhaupt existiere.

Damit befinden sich Apple und Bloomberg weiterhin in einer Pattsituation, in der offenbar niemand von seinen Aussagen zurückweichen möchte. Bloomberg gehört ohne Zweifel zu den renommiertesten Publikationen überhaupt, weswegen man sich wundern müsste, würde man sich hier ohne Grundlage so weit aus dem Fenster lehnen. Apple und seine Unterstützer auf der anderen Seite lassen keinen Zweifel aufkommen, dass an dem Bericht auch nur irgendetwas dran sein könnte. Ob sich diese Situation jemals auflösen wird, muss nun abgewartet werden.

Der Bericht über angebliche Spionage-Chips auf in China produzierten Server-Motherboards von Bloomberg Businesweek schlägt weiter hohe Wellen. Nachdem Apple die darin getätigten Aussagen, wonach das hauseigene Security-Team die Chips entdeckt habe, bereits gestern vehement dementiert und dabei auch betont hatte, unter keinerlei Verschwiegenheitsklausel wegen der angeblichen Ermittlungen zu stehen, springt dem Unternehmen nun auch das britische National Cyber Security Centre zur Seite. Von dort heißt es gegenüber Reuters:

"We are aware of the media reports but at this stage have no reason to doubt the detailed assessments made by AWS and Apple. [...] The NCSC engages confidentially with security researchers and urges anybody with credible intelligence about these reports to contact us."

Apple hatte die angeblich betroffenen Supermicro-Server in seinen Datenzentren zum Betrieb von iTunes- und AppStore, iCloud und Siri eingesetzt, seine Verbindungen mit dem Hersteller jedoch 2016 abgebrochen, was Bloomberg als weiteren Indiz für das Entdecken der Spionage-Chips wertet. Laut Apple gab es seinerzeit allerdings lediglich einen isolierten Fall eines einzelnen Servers, auf dem ein mit Malware infizierter Treiber gefunden wurde. Inzwischen steht Apples Dementi übrigens auch in Form einer deutschen Pressemitteilung zur Verfügung.

Vergangenen Monat wurde bekannt, dass es einem australiaschen Teenager gelungen war, sich in das Apple-Netzwerk zu hacken und dort mehrere Gigabyte an Daten herunterzuladen. Inzwischen hat der Schüler auch seine Strafe mitgeteilt bekommen, wie Bloomberg berichtet. Demnach erhielt er eine 8-monatige Bewährungsstrafe, da der Hackingangriff als schwerwiegend und durchdacht angesehen wurde. Während der Untersuchung wurde zudem ca. 1 TB an Apple-Daten sichergestellt, was deutlich über den zunächst angenommenen 90 GB liegt. Da der Beschuldigte zum Tatzeitpunkt erst 16 Jahre alt war, darf seine Identität nicht öffentlich verkündet werden. Es wurde allerdings berichtet, dass es sein Traum gewesen sei, eines Tages für Apple zu arbeiten. Dies kann er nun vermutlich vergessen.

Apple hat unmittelbar nach dem Bekanntwerden des Vorfalls zu Protokoll gegeben, dass keinerlei persönliche oder Nutzerdaten von dem Hackingangriff betroffen waren.