Wenn das Tippen auf ein Foto den Handyspeicher löscht

Sebastian Roth, Juniorprofessor für Cybersecurity an der Universität Bayreuth, beschäftigt sich mit Sicherheitslücken in Handy-Betriebssystemen, Websites und Firewalls. Gemeinsam mit Forschenden an der TU Wien hat er jetzt über eine neue Lücke in Androids berichtet. Die neue Angriffstechnik heißt TapTrap: Damit lassen sich Android-Nutzer dazu verleiten, auf dem Display herumtippend unbemerkt z.B. Sicherheitsabfragen zu bestätigen. Im Interview erklärt Roth, was es mit der "TapTrap" auf sich hat und welche Rolle KI bei Sicherheitslücken, Hacking und Programmieren spielt.

UBTaktuell: Was hat es mit dieser neuen Sicherheitslücke für Android-Nutzer auf sich?

Sebastian Roth: Die Lücke ermöglicht es einer (bösartigen) App ohne jegliche Berechtigungen, Bildschirmanimationen zu missbrauchen, um den Nutzer dazu zu verleiten, bestimmte Aktionen auszuführen. Mit diesen Animationen kann die App heimlich eine andere App öffnen, beispielsweise die Systemeinstellungen oder eine Berechtigungsabfrage, und diese dann unsichtbar machen. Der Angriff kann dann dazu genutzt werden, den Nutzer dazu zu verleiten, an bestimmte Stellen auf dem Bildschirm zu tippen und so Aktionen in der unsichtbaren App, wie beispielsweise die Erteilung von Kameraberechtigungen oder sogar das Löschen der Gerätedaten auszuführen.

UBTaktuell: Sind iOS-Geräte sicherere als Androids?

Sebastian Roth: Weder kann man sagen, dass iOS-Geräte sicherer sind als Android-Geräte, noch anders herum. Es mag einem vielleicht so vorkommen, als wären iOS-Geräte sicherer als Android-Geräte, da man häufiger von Problemen in Android hört. In meinen Augen liegt das aber schlicht daran, dass Android im Gegensatz zu iOS open-source ist und so Forschende viel einfacher Probleme im Android Ökosystem untersuchen können. Einige sagen, dass Android deswegen sogar sicherer ist, andere wiederum behaupten iOS sei dies, da es abgeschotteter ist. Ich denke, dass man das schlicht pauschal nicht sagen kann, u.a. da hier die Datenlage einfach viel zu gering ist.

UBTaktuell: Was können Handy-Nutzer tun? Wie gefährdet sind Handynutzer durch gehackte Geräte?

Sebastian Roth: Speziell im Fall von TapTrap kann man sagen, dass man - bis Android das zugrunde liegende Problem behebt - einfach die Animationen Systemweit in den Barrierefreiheitseinstellungen von Android deaktivieren sollte. Dadurch wird der Angriff verhindert, aber es werden auch die Animationen auf dem Gerät deaktiviert. Das hat keine Auswirkungen auf die Funktionsweise der App, sondern macht nur z.B. Übergänge zwischen Apps weniger ansehnlich. Generell sollte man immer darauf achten, dass das Betriebssystem (egal ob iOS oder Android) sowie alle Apps stets auf dem aktuellen Stand sind. Die Hersteller reagieren regelmäßig auf Sicherheitsmeldungen und stellen Updates bereit. Je nachdem, welches Modell man hat, gab es bisher leider allzu oft nur eine sehr kurze Zeitspanne, in der man jene Sicherheitsupdates bekommen hat. Die neue Ökodesign-Richtlinie der EU zwingt Hersteller nun immerhin, ihre Geräte künftig mindestens fünf Jahre nach Verkaufsende mit Updates versorgen. Das wird, hoffe ich, dazu führen, dass mehr Nutzer das aktuelle Sicherheitsupdate nutzen und zeitgleich Smartphones länger genutzt werden können.

UBTaktuell: Was sind typische Schwachstellen in modernen Smartphones oder Websystemen?

Sebastian Roth: An sich sind die Schwachstellen sehr unterschiedlich. Eine Sache, die in beiden Fällen aber immer wieder zu Problemen führt, ist unsichere Kommunikation zwischen der Webseite oder einer App und dem Server der jeweiligen Anwendung. Auch veraltete Software ist oft ein Problem. Wenn Smartphones oder deren Apps nicht die aktuellen Sicherheitsupdates installiert haben oder Webseiten veraltete und verwundbare Softwarebibliotheken nutzen, öffnet das meist Tür und Tor für Angreifer. Auf der Seite der Nutzer sind schlecht gewählte oder auf mehreren Services genutzte Passwörter ein großes Problem. Hier kann Passwortmanager-Software oder auch der Umstieg auf PassKeys und die Einrichtung von Mehrfaktorauthentifizierung den Schutz sehr erhöhen. Aber nicht nur auf der Seite der Nutzer, auch auf der Seite der Entwickler ist noch viel Arbeit zu tun, um die Verwendung von Sicherheitsmechanismen und sicherem Programmierverhalten einfacher und so Software generell sicherer zu machen.

UBTaktuell: Arbeiten Sie theoretisch oder hacken Sie auch zum Spaß mal eine Website?

Sebastian Roth: In Forschungsarbeiten müssen wir unsere Hypothesen durch empirische Daten belegen. Wenn wir z.B. ein Sicherheitsproblem oder einen Verteidigungsmechanismus erforschen, scannen wir normalerweise die am häufigsten genützten Webseiten (oder Apps) und schauen uns das Problem in jenem Datenset an. Das hilft uns dann nicht nur einzuschätzen, wie groß ein Problem ist, sondern macht unsere Resultate auch nachvollziehbarer bzw. reproduzierbar. Gleichzeitig sorgt jener Fokus dafür, dass kleinere (aber auch sehr wichtige) Applikationen von uns oft nicht untersucht werden, wie beispielweise die Webseiten lokaler Banken oder Versorgungsbetriebe. Hier gibt es tolle Arbeiten abseits rein wissenschaftlicher Konferenzen: Letztes Jahr auf dem Treffen des Chaos Computer Club hat beispielweise Lilith Wittmann eine tolle Arbeit übers „Knäste hacken“ vorgestellt, und einen Einblick in den Softwarestack von Gefängnissen gegeben.

UBTaktuell: Wo ziehen Sie die Grenze zwischen legitimer Forschung und illegalem Eingriff?

Sebastian Roth: Das ist ein sehr schwieriges und auch politisches Thema. Dass Sicherheitsforschende in Deutschland immer wieder juristische Probleme bekommen und rechtlich nicht abgesichert sind, sondern mit einem Bein im Gefängnis stehen, ist alles andere als angenehm. Forschende und auch Hacktivistinnen leisten unglaublich wichtige Aufklärungsarbeit und statt die Sicherheitslücken auszunutzen oder diese zu verkaufen, melden wir sie den Betroffenen, sodass möglichst viele Endnutzer geschützt werden können. Da allerdings das Gesetz (z.B. der Hackerparagraph im StGB) in seiner aktuellen Form nicht zwischen gut- oder böswilligen Angriffen unterscheidet, bekommt man allzu oft statt eines „Danke fürs Bescheid geben“ einen Brief vom Anwalt. Also, hier ist politisch noch einiges zu tun, um legitime Forschung rechtssicherer zu gestalten.

UBTaktuell: Was hat Sie dazu motiviert, sich mit dem Thema Hacking auseinanderzusetzen / gab es ein Schlüsselerlebnis?

Sebastian Roth: Die ehrliche Antwort wie ich zu Cybersicherheit gekommen bin, ist, dass ich unentschlossen war, welches Nebenfach ich im Informatik Bachelor belegen sollte, also habe ich zum Cybersicherheitsbachelor an der Universität des Saarlandes gewechselt, welcher kein Nebenfach hatte. Richtig entflammt ist meine Leidenschaft für IT-Sicherheit erst danach durch die praxisnahen Kurse, in denen man IT-Systeme angreifen durfte, oder auch durch das Capture-the-Flag-Team „saarsec“ der Universität des Saarlandes und des CISPA Helmholtz Zentrums für IT-Sicherheit. Außerdem bekam ich dank Sascha Fahl, Ben Stock und Michael Backes vom CISPA frühzeitig im Studium die Möglichkeit, als Hilfswissenschaftler Einblicke in IT-Sicherheitsforschung zu bekommen. Hier habe ich gesehen, was für ein unglaublich breit gefächertes Feld IT-Sicherheit ist. Es gibt Überschneidungen mit Elektrotechnik, wenn man Hardware-nahe Forschung betreibt, Überschneidungen mit Psychologie und Philosophie, wenn man Forschung rund um Entwickler oder auch Endnutzer betreibt, mit Jura, wenn man über IT-Strafrecht forscht, Mathematik, wenn man an Cryptographie interessiert ist, usw. Kurzum, IT-Sicherheit ist ein Feld, in dem es mir einfach nie langweilig werden wird.

UBTaktuell: Wie wird sich das Hacking durch KI verändern?

Sebastian Roth: Wenngleich einem manche KI-basierten Systeme helfen können, die riesigen Datenmengen, die z.B. an einer Firewall ankommen, schnell zu analysieren, oder Angreifer in einer Art Labyrinth zu halten, um ihre Zeit zu verschwenden, hat die Verwendung von KI auch ihre Schattenseiten. Aktuell gibt es den gefährlichen Trend, Software von Sprachmodellen statt von Entwicklerinnen generieren zu lassen. Das birgt Probleme, da jene Modelle auf Daten bzw. Code aus den Weiten des Internets trainiert wurden und daher auch dieselben Sicherheitslücken und Bugs beinhalten wie eben jener Code. Forschende aus Stanford haben z.B. in einer Studie gezeigt, dass Entwickler, welche Zugang zum KI-Assistenten hatten, dazu neigten, bei den meisten Programmieraufgaben Sicherheitslücken einzubauen und gleichzeitig ihre unsichere Software jedoch eher als sicher bewerten würden (im Vergleich zu Entwicklern ohne KI-Assistenten). Von daher wird in naher Zukunft eher die Anzahl schlecht programmierter Software mit Sicherheitslücken zunehmen. Auch haben die Sprachassistenten ein Designproblem, dass sie verwundbar macht gegen Angriffe, bei denen den Systemen ungewollte Kommandos untergejubelt werden können oder deren Sicherheitsbeschränkungen außer Kraft gesetzt werden können. Man könnte sagen, dass wir mit Künstlicher Intelligenz neue Helfer zu Verteidigung von Systemen haben, aber es gleichzeitig auch ein Füllhorn an potenziellen (neuen) Sicherheitslücken zu erforschen gibt.