daily.out

2012-05-25 Kaspersky fordert Sicherheitslöcher in iOS

Kaspersky möchte ein löchrigeres iOS, damit Antiviren-Software darauf laufen kann. Warum AV-Software zu einer Verschlechterung von iOS führt, erkläre ich in diesem Artikel.

Who Is Who

Eugene Kaspersky, lautstarker Chef einer Moskauer AV-Firma gleichen Namens, der uns Apple-User in den letzten Jahren immer gerne als etwas einfältig darstellte, wenn wir seine Produkte nicht kauften (sucht mal nach "hawaii hemden mac user"), zeigt ein ambivalentes Verhältnis zum iOS. Im Jahr 2010 war er sich noch sicher, daß das iPhone im Jahr 2015 nicht mehr existieren wird oder zumindest dann keine Rolle mehr spielen würde. Garantiert überleben würden bis 2015 nur Android und Symbian, so prognostizierte Kaspersky damals. Wie es aussieht, liegt er beim iPhone (wächst) und bei Symbian (stirbt gerade) total daneben. Schwamm drüber, denn Prognosen sind ja nicht das Haupt-Geschäft von Kaspersky. Daß sie dabei eh meist daneben liegen, erzählen sie auch in diesem Video-Interview (circa bei 4:00). Sicherheits-Software ist schon eher sein "Business", aber auch da überzeugt mich Kaspersky nicht, denn er konnte den PC einer Freundin nicht von Malware befreien, als ich mal seine Hilfe brauchte. Und im Zuge der Flashback-Geschichte richtete nicht etwa Flashback den Schaden an, sondern eine AV-Software von Kaspersky, die Userdaten auf den Macs löschte während sie versuchte, Flashback zu jagen. Flashback selbst hingegen richtete keinen mir bekannten Schaden an. Presse und AV-Industrie hätten es sicher mehrmals an die große Glocke gehängt. So liegt es im nächsten Blogeintrag bei mir, da dran zu bleiben und meinen Selbstversuch mit Flashback zu dokumentieren.

Aber zurück nach Moskau: Nachdem der große AV-Jäger das iPhone doch erst abgeschrieben hatte, ist Kaspersky nun seltsamerweise frustriert, daß sich iOS nicht für AV-Software eignet. Die Entwicklungs-Tools von Apple ermöglichen ihnen nicht, AV-Software zu schreiben. Offenbar sehen sie nun doch in iOS eine so große Zukunft, daß sie AV-Software dafür schreiben möchten, aber das nicht können. Was soll die Aufregung, Kaspersky? 2015 ist das iPhone doch eh weg vom Fenster. Hast Du gesagt. Und jetzt wollt Ihr für eine Karteileiche Software schreiben und seid sauer, weil das nicht geht?

Warum AV-Software auf iOS nicht geht

AV-Software muß Infektionen überall entdecken und beheben können. Dazu benötigt sie lesenden und schreibenden Zugriff auf alle Dateien aller (SSD- oder Fest-) Platten. Dazu wiederum muß sie auf iOS (und Mac OS X) Root-Rechte haben und darf in keiner Sandbox laufen. Eine Sandbox schränkt die Zugriffsrechte für ein Programm nochmal ein, unabhängig vom User, unter dem das Programm läuft.

Jede App, die man im App Store für iOS bekommt, läuft zwangsläufig unter dem User "mobile", also nicht unter Root. Außerdem läuft sie zwingend in einer ganz eigenen Sandbox, die ihren Arbeitsbereich auf der Platte klar begrenzt. So kann eine App A nicht die Inhalte von App B lesen und schon lange nicht schreiben – zum Beispiel. Sie kann auch nicht die Userdaten der anderen App lesen oder schreiben.

All dies, was eine iOS-App nicht darf, das ist genau das, was eine AV-Software jedoch braucht. Darum funktioneren AV-Apps nicht auf iOS. Die Beschränkungen für Apps sind Sicherheits-Funktionen. Man läßt Programme nicht unter Root laufen, weil sie oder ein böswilliger User sonst das komplette System und alle User kompromittieren könnten. Und mit Sandboxing schützt man unter anderem Userdaten davor, daß Schnüffelprogramme Daten des Users abgreifen, die er mit anderen Programmen erstellt hat.

Warum AV-Software auf iOS nicht sein darf

Wenn Apple für iOS-Apps Ausnahmen einführen würde, damit Kaspersky oder sonst ein AV-Hersteller AV-Software für iOS schreiben kann, dann könnte Malware die gleichen Wege nutzen umd damit systemweite Lese- und Schreibrechte bekommen. Es sind gerade diese Beschränkungen in iOS, die es so sicher machen. Wenn eine App durch einen Angriff infiziert wird, dann ist sie immer noch durch ihre Sandbox (und den Nicht-Root-User) daran gehindert, alle Userdaten zu lesen oder andere Apps zu infizieren. Der andere wichtige Sicherheits-Aspekt sind die Kontrollen im App-Store und, daß jeder Entwickler seine Identität nachweisen muß und seine Programme alle seine von Apple abgesegnete Signatur tragen und dadurch auch schnell deaktiviert werden können. Ohne gültige Signatur läuft die App nicht. Außerdem kann iOS entscheiden, welche Signaturen es akzeptiert.

Würde Apple für AV-Software Vollzugriff erlauben, den andere Programme nicht benötigen, dann kann man im Review-Prozeß die Schädlichkeit einer App nicht mehr beurteilen. Bisher kann man davon ausgehen, daß jede App nur in ihrer Sandbox bleibt. Fällt das weg, müßte man entscheiden, ob die App ihre Rootrechte und Sandbox-Freiheit nicht mißbraucht.

Gäbe es solche AV-Software auf iOS, dann wäre sie primäres Ziel für Angriffe, denn jeder erfolgreiche Angriff auf diese AV-Software würde zur Komplettübernahme des Gerätes führen. Warum? Weil eine AV-Software zwingend systemweite Lese- und Schreibrechte benötigt. Das benötigt jedoch keine normale App. Nur AV-Software und Malware freut sich über solche Rechte. AV-Software, die tausende von Dateiformaten öffnen kann und verarbeitet, erhöht die Angriffsoberfläche erheblich. Bei Kaspersky waren es im Jahr 2007 bereits über 3000 unterschiedliche Formate. Man hat also die freie Wahl, mit welcher Art Dokument man die AV-Software von Kaspersky angreifen möchte.

Kaspersky wünscht, AV-Software für iOS schreiben zu können. Wenn das möglich wäre, dann wäre auch ernsthafte Malware auf iOS möglich. Und solange Malware auf iOS solchen Schranken unterliegt, braucht man auch keine AV-Software. Die Türen, die man der AV-Software öffnen müßte, ständen auch einer Malware offen. Entweder, indem sie den vollen Zugriff direkt bekommt wie die AV-Software, oder indirekt, indem sie die AV-Software angreift und dort Code zur Laufzeit einschleust. Der Weg, den man gehen muß, um das iPhone mit AV-Software vermeintlich sicherer zu machen, ist auch der Weg, den dann Malware benutzen kann, die vorher ohne diesen Weg überhaupt nicht möglich gewesen wäre. Kennt Ihr den "Kung Fu Panda"? Da sagt Meister Shifu: "Man begegnet seinem Schicksal oft auf eben jener Straße, die man einschlägt, um es zu vermeiden." Ich könnte es nicht besser ausdrücken.

Und darum, lieber Kaspersky, sollte niemand auf die Idee kommen, iOS unsicherer zu machen, nur damit Du Deine AV-Software dort zum Laufen bekommst. Ich weiß, es wäre großartig für Dich: Wenn iOS diese Schranken fallen läßt für Dich, dann fallen sie auch für Malware. Und dann bekämen wir iOS-Malware. Und Deine AV-Software hätte endlich einen Sinn auf iOS. Aber laß mich kurz überlegen, ob ich das will: AV-Software und Malware oder keine AV-Software und auch keine Malware? Ich glaube, es gefällt mir so wie es ist.

Lieber Kaspersky, Du wirst es mir nicht übelnehmen können, daß ich den Eindruck habe, daß Dir nicht ernsthaft an der Sicherheit von iOS gelegen ist. Denn sonst würdest Du nicht fordern, daß Apple sein System für "besondere" Apps löchrig macht. Ich glaube, Du wirst auch mit AV-Software für die anderen Systeme genug Geld verdienen. Ich gönne Dir das Geld, aber bitte laß Deine Finger von iOS. Da wohne ich nämlich.

---