Diese Tage wurde bekannt, dass das Smartphone von Jeff Bezos durch eine Whatsapp-Nachricht kompromittiert wurde. Der Journalist Julian Aé der Tageszeitung Die Welt unterhielt sich mit Marc Ruef. Im Interview geht es darum, wie ein solcher Angriff umgesetzt werden kann, welche Voraussetzungen gegeben sein müssen, wie er verhindert werden kann und ob das geschilderte Szenario überhaupt plausibel ist.

Dies sind die Original-Antworten:

Wie läuft die Infektion eines Smartphones mit Schad/Spähsoftware via Whatsapp-Nachricht oder Anhang von technischer Seite her ab?

Ziel eines Angreifers ist in diesem Zusammenhang das Ausführen seines eigenen Programmcodes. Das Empfangen und Darstellen von Whatsapp-Nachrichten erfordert eine relativ komplexe Interpretation der Daten. Vor allem im Fall von Bezos, bei dem ein Video zum Einsatz kam. Durch das Ausnutzen eines Fehlers bei dieser Interpretation kann es zur Beeinflussung der Software und zum etwaigen Ausführen des Schadcodes kommen. Sobald der Angreifer eigenen Code ausführen kann, kann er eine persistente Infektion anstreben, Daten sammeln und diese exfiltrieren.

Kann das auch dem “normalen” Verbraucher passieren? Wie hoch schätzen Sie hier die Gefahr ein?

Schwachstellen betreffen uns alle. Man muss zwischen breitflächigen und zielgerichteten Angriffen unterscheiden. Bei breitflächigen Attacken kommen standardisierte und relativ simple Werkzeuge zum Tragen. Diese werden primär durch Cyberkriminelle eingesetzt, können selten mit individuellen Gegebenheiten umgehen und sind deshalb als “hit or miss” einzustufen. Sie sind Teil eines konkreten Geschäftsmodells und werden für Datendiebstahl oder Erpressung genutzt. Zielgerichtete Angriffe hingegen werden durch professionelle Angreifer, allen voran den Nachrichtendiensten, angestrebt. Sie greifen auf hochspezialisierte und bisweilen individuelle Werkzeuge zurück. Diese breitflächig einzusetzen erhöht das Risiko einer Entdeckung, wodurch ihr Nutzen unmittelbar verloren ginge. Deshalb werden diese nur punktuell gegen “High Value Targets” aus Wirtschaft und Politik herangezogen werden.

Wie kann ich mich/mein Smartphone vor solchen Angriffen schützen?

Smartphones verhalten sich heutzutage gleich wie Computer. Dementsprechend sind auch die Tipps identisch: Betriebssystem und Software mit Updates auf dem aktuellen Stand halten, nicht benötigte Funktionalität deaktivieren, sichere und regelmässig geänderte Passwörter nutzen, Mehrfaktorauthentisierung bevorzugen, eine Antiviren-Lösung einsetzen. Das wichtigste ist und bleibt aber auch hier gesunder Menschenverstand und Medienkompetenz. Man soll nicht alles anklicken, öffnen und ausführen.

Die Nachricht, die Bezos zum Verhängnis wurde, kam von einer scheinbar vertrauenswürdigen Person. Worauf muss ich bei Nachrichten und Anhängen wie Videos, Dokumenten und Bildern achten? Was ist verdächtig?

Im Mittelpunkt sollte stets eine Plausibilitätsprüfung stehen: Kenne ich die Person, verhält sie sich auffällig, verlangt sie eine dubiose Handlung, ist das alles überhaupt sinnvoll? Untypische Schreibfehler können zum Beispiel einen Verdachtsmoment rechtfertigen. Falls dem so ist, darf man sich gerne eine Gegenfrage erlauben, bevor man einen Anhang öffnet. Die meisten Angriffe sind oft nicht auf solche Widerstände vorbereitet, wodurch sie verpuffen.

Sind Android und IOS gleichermaßen anfällig oder gibt es ein System, das aus Ihrer Sicht sicherer ist?

Unsere jahrelangen Beobachtungen von Verwundbarkeiten und Exploits zeigen keine nennenswerten Indikatoren, dass eine dieser mobilen Plattformen “besser” wäre als das andere. Der grosse Unterschied ist, dass Angriffe auf iPhones eher bei zielgerichteten Szenarien angestrebt werden. Und Android aufgrund der hohen Marktdurchdringung vor allem für breitflächige Angriffe spannend ist.

Wie komplex ist es, ein Handy mit einer solchen Schadsoftware zu infizieren? Ist das nur für Geheimdienste/Regierungen möglich oder würde das auch Privatpersonen ohne Weiteres schaffen?

Eine persistente Infektion muss schnell, unauffällig und nachhaltig durchgeführt werden. Eine solche umzusetzen ist nicht einfach und deshalb professionellen Angreifern vorbehalten. Nachrichtendienste sind darum bemüht, solche Szenarien bei Bedarf abdecken zu können. Doch auch sie kämpfen mit immer neuen Sicherheitsmassnahmen, veröffentlichten Patches und individuellen Konfigurationen. Es kann also auch durchaus mal sein, dass ein Nachrichtendienst gerade keine Lösung in petto hat.

Wie schätzen Sie die Hintergründe des aktuellen Skandals ein? Halten Sie es für wahrscheinlich, dass die saudische Regierung dahinter steckt?

Der geopolitische, wirtschaftliche und persönliche Kontext des Sachverhalts ist vor allem für Aussenstehende undurchsichtig. Es ist jedoch nicht unrealistisch davon auszugehen, dass für diesen Angriff Motiv und Ressourcen vorhanden gewesen wären.

Links

• https://www.theguardian.com/world/2020/jan/21/revealed-the-saudi-heir-and-the-alleged-plot-to-undermine-jeff-bezos
• https://www.welt.de/wirtschaft/webwelt/plus205273361/Bezos-und-Bin-Salman-Handy-Hack-per-Whatsapp-wie-kann-ich-mich-schuetzen.html

Tags