Menü
Mac & i

Apple: Keine Verhandlungen mit Wikileaks über "Vault 7"

Mit dem "Sonic Screwdriver" wollte die CIA laut neuen Vault-7-Dokumenten Macs über einen modifizierten Thunderbolt-Adapter infizieren. Die Schwachstellen seien längst geschlossen, erklärte Apple – und forderte Wikileaks dazu auf, Bugreports einzureichen.

vorlesen Drucken Kommentare lesen 79 Beiträge
Sonic Screwdriver

(Bild: dpa, Karl-Josef Hildenbrand/Archiv)

Apple hat auf die neuen “Vault-7”-Enthüllungen von Wikileaks reagiert, die weitere angebliche CIA-Handbücher zu Tools für die Infektion von Macs und iPhones ans Licht bringen. Eine der dort aufgeführten Schwachstellen habe nur das iPhone 3G betroffen und sei schon 2009 mit der Einführung des iPhone 3GS geschlossen worden, erklärte der Hersteller in einer Stellungnahme gegenüber US-Medien. Nach ebenfalls "vorläufiger Einschätzung" von Apple wurden auch die aufgeführten Mac-Schwachstellen in allen Macs beseitigt, die "nach 2013" auf den Markt gebracht wurden.

Die von Wikileaks neu veröffentlichten Dokumenten befassen sich mit dem Einschleusen von Malware auf Firmware-Ebene, die etwa auch die Neuinstallation des Betriebssystems überdauern soll. Der “Sonic Screwdriver”, ein modifizierter Thunderbolt-auf-Ethernet-Adapter, soll Schadcode beim Hochfahren einschleusen. Dafür muss der von Apple verkaufte Adapter direkt angeschlossen werden: Entsprechend setzt ein Angriff physischen Zugriff auf den Mac voraus.

Eine solche Methode hatte ein Sicherheitsforscher 2012 auf der Hacker-Konferenz Black Hat demonstriert, dies diente möglicherweise auch der CIA als Grundlage für die in den “Vault 7”-Unterlagen aufgeführte Angriffsmethode.

Aus der Präsentation des Thunderstrike-Angriffs auf dem 31C3.

(Bild: Trammell Hudson (CC BY-SA 2.0) )

Der Sicherheitsforscher legte einen Gerätetreiber auf dem Apple-Adapter ab, der automatisch beim Neustart des Macs geladen wird. Mit Hilfe des Treibers wird später im Bootvorgang der eigentliche Schadcode nachgeladen und ausgeführt. Der damals demonstrierte Treiber diente nicht nur zum Modifizieren des Kernels, sondern beispielsweise auch zum Mitschneiden der Passwort-Eingabe, um die per FileVault verschlüsselte Festplatte zu entschlüsseln.

Ähnliche Angriffsmethoden wurden später unter dem Namen Thunderstrike und Thunderstrike 2 bekannt, diese Firmware-Schwachstellen hat Apple ebenfalls beseitigt. Apples Aussage, dass die Schwachstelle nur in Macs geschlossen wurde, die "nach 2013" neu auf den Markt kamen, lässt offen, ob ältere Macs weiter anfällig sind.

“Wir haben mit Wikileaks nicht über weiteren Informationen verhandelt”, betonte Apple. Das Unternehmen habe der Enthüllungsplattform aber mitgeteilt, wie sie Details zu Bugs über die “normalen Kanäle” einreichen kann – bislang habe man keine unveröffentlichten Informationen erhalten. “Wir billigen Diebstahl nicht und stimmen uns auch nicht mit denen ab, die damit drohen, unseren Nutzern zu schaden”, betonte Apple.

Nach der Veröffentlichung erster "Vault 7"-Dokumente Anfang März, die unter anderem Angriffe auf das iPhone aufführten, hatte Apple bereits erklärt, "viele" der iOS-Lücken seien schon behoben. (lbe)