A hardcore experience and a shocking moment

Im vergangenen Jahr wurden mehrere Sicherheitslücken in Apples M-Chips entdeckt, die alle Geräte betrafen, darunter Tablets, iPhones und Mac-PCs, einschließlich Notebooks. Sicherheitsupdates wurden veröffentlicht, wobei das letzte zum Jahreswechsel erschien.  Welche Lücken gab es denn genau? 

 

GoFetch (betraf M1, M2 und M3 Chips)

 

Dies ist eine der bekanntesten Lücken. Sie betrifft den sogenannten Data Memory-Dependent Prefetcher (DMP).

 

Was passiert: Der Chip versucht vorherzusagen, welche Daten als Nächstes benötigt werden, und lädt diese vorab. Dabei unterläuft ihm ein Fehler: Er verwechselt sensible kryptografische Schlüssel (Daten) mit Speicheradressen.

Das Risiko: Angreifer können über "Seitenkanal-Angriffe" geheime Verschlüsselungs-Keys auslesen.

Status: Da es ein Hardware-Designfehler ist, lässt er sich nicht einfach per Software-Update "löschen". Apple hat beim M3 jedoch eine Funktion (DIT) hinzugefügt, die Entwickler nutzen können, um diesen Mechanismus bei sensiblen Berechnungen abzuschalten – allerdings auf Kosten der Geschwindigkeit.

 

Ja, es gab kein echtes Sicherheitsupdate für die M1- und M2-Chips und für den M3 nur einen Workaround. Ein besseres Update war schlichtweg nicht möglich, weil man die Technik nicht nachträglich ändern kann. Stattdessen hat Apple die Systemprogramme angepasst, die potenziell ausgenutzt werden könnten, und zusätzliche Schutzmechanismen integriert, um solche Ausnutzungen zu verhindern.  Programmentwickler haben die Möglichkeit, ihre Programme so zu gestalten, dass dieser Designfehler im Chip umgangen wird, allerdings auf Kosten der Leistung. Natürlich kann Apple die Entwickler nicht kontrollieren (mit Ausnahme von Open-Source-Projekten).  Ist es also notwendig, in Panik ein neues MacBook oder MiniMac zu kaufen? Nein. Die grundlegenden Sicherheitslücken, die beispielsweise über den Browser ausgenutzt werden könnten, wurden geschlossen. Darüber hinaus soll es auch mit lokalen Programmen deutlich schwieriger geworden sein, diese Lücken auszunutzen. Aber natürlich bleibt das System im Allgemeinen anfällig.

 

SLAP & FLOP (M2, M3 Chip & A-Serie)

 

Diese Anfang 2025 entdeckten Lücken betreffen vor allem neuere Chip-Generationen ab dem M2.

 

Was passiert: Forscher fanden heraus, dass bestimmte Optimierungsprozesse in der CPU genutzt werden können, um Daten zwischen Apps oder aus dem Browser (Safari) abzugreifen.

Status: Apple hat hierfür bereits Software-Mitigationen in macOS (Sequoia/Tahoe) implementiert, um die Ausnutzung zu erschweren, aber die grundlegende Architektur bleibt anfällig.

 

Ein ähnliches Problem wie beim GoFetch trat auf, bei dem letztendlich nur Änderungen am umgebenden Kontext vorgenommen werden konnten, um solche Angriffe zu verhindern oder im größeren Maßstab zu erschweren. 

 

iLeakage (Alle M-Chips)

 

Ein Angriff, der speziell auf den Browser abzielt.

 

Was passiert: Er nutzt die "Speculative Execution" (spekulative Ausführung) der Chips aus. Ein Angreifer kann eine präparierte Webseite erstellen, die den Chip dazu bringt, private Daten (wie Passwörter oder Gmail-Posteingänge) in den Cache zu laden, wo sie dann ausgelesen werden können.

Status: Apple hat in Safari Sicherheitsmechanismen eingebaut, um dies zu verhindern.

 

Wer glaubt, dass solche Probleme nur bei Apple auftreten, irrt sich. So waren beispielsweise auch AMD und Intel von ähnlichen Sicherheitslücken betroffen, die nur durch einen Workaround behoben werden konnten.  Es ist schlichtweg nicht möglich, per Update eine neue Leiterbahn in einen Chip zu integrieren.  Es gibt aber durchaus andere Möglichkeiten, diese Probleme anzugehen.

 

In der heutigen Zeit sind Webbrowser (und Firewalls, wie im Router) die wichtigsten Schutzschilde.  Es gibt noch andere Produkte, aber diese benannten sind immer an vorderster Front. Obwohl ihr euch vielleicht sicher fühlt, weil ihr keine schädlichen Apps installiert, können Angriffe auf PC-Systeme über den Webbrowser erfolgen, wie die obigen Beispiele zeigen.  Ein Angriff kann beim Besuch einer Webseite stattfinden.  Es ist möglich, ein Schadprogramm direkt auf einer Webseite zur Ausführung zu bringen oder ein Exploit zu nutzen, um ein Schadprogramm im laufenden Arbeitsprozess des Webbrowsers auszuführen.  Eine weitere Methode besteht darin, euch dazu zu verleiten, eine schadhafte Datei auf euer System herunterzuladen, die im schlimmsten Fall sogar nur ein einfaches Bild sein kann. 

 

Um unseren Schutzschild zu stärken, können wir den „Blockierungsmodus“ im Safari-Browser aktivieren. Dieser Modus ist in den Einstellungen leicht zu finden. Der Browser Chrome bietet eine ähnliche Option namens „Javascript Optimierung und Sicherheit“ für die V8 Engine. Darüber hinaus kann man Javascript unter „Website Einstellungen“ vollständig deaktivieren. Chrome bietet außerdem weitere Sicherheitsmaßnahmen, die in den Einstellungen aktiviert werden können. Bei Safari muss man zwischen mehreren Stufen wählen, die man aktivieren kann, bis hin zum vollständigen Blockiermodus. 

 

Was bewirkt dieser Schutzmodus? Ähnlich wie bei Chrome bietet Safari in den Einstellungen die Möglichkeit, JavaScript für alle Webseiten zu deaktivieren. In diesem Modus werden nur statische Inhalte wie einfacher Text, einfache Bilder und möglicherweise einfache Bewegungen von Elementen auf Webseiten angezeigt. Der Vorteil ist, dass keine Programme oder Skripte direkt auf der Webseite ausgeführt werden können, wodurch das Risiko eines Angriffs auf Safari oder seine Komponenten erheblich reduziert wird. 

 

Statische Webseiten können jedoch genauso anfällig sein, wenn eine Sicherheitslücke in Safari eine Ausnutzung mit statischen Elementen ermöglicht. Solche Vorfälle gab es in der Vergangenheit bereits, zumindest bei anderen Webbrowser.  Darüber hinaus gab es auch Angriffe, die Sicherheitslücken in Filtertechnologien ausnutzten.  Ein absoluter Schutz ist daher möglicherweise nicht gewährleistet. Der größte Nachteil statischer Webseiten besteht darin, dass die Implementierung einer Anmeldung schwierig sein kann.  Webseiten für die Anmeldung an einem E-Mail-Dienst funktionieren bei aktivierter Option beispielsweise möglicherweise nicht.  Darüber hinaus können statische Elemente auf der Webseite falsch angeordnet sein. Für solche und eure bekannten Webseiten kann man aber Ausnahmen aktivieren.

 

Im Safari-Browser besteht die Möglichkeit, einen „Inhaltsblocker“ zu aktivieren. Dieser filtert vor der Anzeige von Inhalten auf einer Webseite Werbung in vielfältigster Form.  Es ist wichtig zu beachten, dass nicht sämtliche Werbung blockiert wird. Basierend auf meinen Erfahrungen werden jedoch insbesondere aufdringliche Werbeanzeigen, die potenziell auf unseriösen Webseiten mit schädlichen Absichten eingeblendet werden könnten, effektiv blockiert.  Der Inhaltsblocker kann für bestimmte Webseiten oder für alle Webseiten gleichzeitig aktiviert werden. Man muss aber auch berücksichtigen, dass unter Umständen der Inhalt der Webseite beeinträchtigt oder vollständig verloren gehen kann. 

 

Ein Schutzmechanismus gegen potenziell schädliche Webseiten kann aktiviert werden. Dieser befindet sich unter den Einstellungen im Reiter „Sicherheit“. Apple setzt hierbei die Technologie von Google ein, um unseriöse Webseiten zu identifizieren.  Es ist möglich, dass auch seriöse Webseiten durch den Filter blockiert werden, falls diese, aus welchen Gründen auch immer, auf einer Blacklist gelistet sind.  Einen Menüpunkt darunter befindet sich die Option „Vor unsicheren HTTP-Verbindungen warnen“. Diese Option sollte aktiviert werden, da HTTP die Übertragung von Website-Daten, einschließlich potenziell sensibler Informationen wie Kontodaten, unverschlüsselt ermöglicht. 

 

Im Bereich „Datenschutz“ besteht die Möglichkeit, das Tracking durch Webseiten zu blockieren, einschließlich Standortabfragen und ähnlichen Funktionen.  Diese Maßnahmen dienen dazu, die Erstellung detaillierter Nutzerprofile zu verhindern.  Es ist jedoch zu beachten, dass bestimmte Webseitenfunktionen auf diese Daten angewiesen sein können.  Daher empfiehlt es sich, die Funktion zunächst zu aktivieren. Sollte ein Dienst nicht ordnungsgemäß funktionieren, kann die Blockierung für die betreffende Webseite deaktiviert werden.  

 

Die Nutzung von Safari-Profilen wird empfohlen, insbesondere bei intensiver Internetnutzung. Durch die Erstellung separater Profile für spezifische Aktivitäten, wie beispielsweise „Banking“ und „Allgemeines Surfen“, kann eine verbesserte Isolierung der Daten im Cache gewährleistet werden.  Im Falle eines Angriffs auf den Browser während des allgemeinen Surfens wird der Zugriff auf sensible Daten, wie beispielsweise Bankinformationen, dadurch vielleicht erschwert.  

 

Der „Blockierungsmodus“ im Safari – was steckt dahinter?  Dieser Modus ist in den Einstellungen des MacOS und im Safari zu finden und bietet zusätzlichen Schutz für Personen, die einem erhöhten Risiko eines Cyberangriffs ausgesetzt sind.  Bei Aktivierung blockiert er nicht nur Safari, sondern das gesamte MacOS inklusive Apps.  Das bedeutet, dass einige Funktionen möglicherweise nicht mehr funktionieren.  Aber keine Sorge: Man kann vermeintlich sichere Apps und Webseiten vom „Blockierungsmodus“ ausschließen.  So bleibt das System zwar eingeschränkt, aber man hat trotzdem die Kontrolle darüber, welche Inhalte man sehen möchte. 

 

Eine weitere Möglichkeit im MacOS ist das „Private Relay“. Es ähnelt dem Google VPN und dem verschlüsselten Google DNS, verschlüsselt aber nicht die übertragenen Daten selbst, sondern lediglich grundlegende Informationen, die für den Datenaustausch über das Internet erforderlich sind.  Ein Teil dieser Daten wird zwar irgendwann wieder lesbar, kann aber nicht direkt eurem System zugeordnet werden. Das Ziel ist es, euer System vor Adressierung und Erkennung zu schützen, wodurch viele Angriffsversuche scheitern. Und nein! Es bietet keinen Schutz vor Strafverfolgung oder ähnlichen Maßnahmen. Beachtet, dass das Private Relay nur mit Safari funktioniert. Verwendet ihr Chrome, Firefox, Brave, Opera oder andere Browser, ignoriert MacOS es. Darüber hinaus kann es in Firmennetzwerken zu Problemen kommen. 

 

Das sind einige Vorschläge zur Verbesserung der Sicherheit von Safari. Die Aktivierung aller Sicherheitsfunktionen bietet zwar einen hohen Schutz, selbst bei größeren Sicherheitslücken, schränkt aber gleichzeitig den Zugriff auf viele Inhalte auf Webseiten ein. 

 

Der Google Chrome Webbrowser bietet ähnliche Funktionen wie Safari, aber Google nutzt mehrere Funktionen gleichzeitig, um seine Dienste zu verbessern. Dabei werden Nutzerdaten erfasst, die zum Teil auch für Werbung verwendet werden. Die genauen Details findet ihr immer in den Datenschutzvereinbarungen. Apple macht das beim Safari Webbrowser nicht, sondern behält die Daten intern. Allerdings nutzen viele große Webseiten, die ihr besucht, Google Technologie, um bestimmte Nutzerdaten zu erfassen und zu verarbeiten. Google ist zwar nicht der einzige Anbieter für solche Technologie, aber sehr fortgeschritten. Meta ist der zweite große Platzhirsch in diesem Bereich. Wenn die Datenerfassung ein Problem für euch ist, löst ihr es mit Chrome oder Safari also nicht komplett.

 

Aber einen Tipp noch für ältere Systeme! Auf älteren Apple Systemen könnt ihr einfach einen anderen Webbrowser wie zum Beispiel Chrome oder Firefox nutzen. Das kann die Sicherheit nochmal erhöhen, weil diese Browser anders ins System eingebunden sind und bei älteren Systemen vielleicht etwas schneller Sicherheitsupdates bekommen. Bei älteren Systemen wird Apple wahrscheinlich nicht mehr so viel Geld in die Prävention stecken, deshalb werden vielleicht nicht mehr alle Sicherheitslücken gefunden. 

     

Infos, News und was sonst noch bleibt

 

Seagate: hat die Namensgebung seiner “Exos” Produktpalette vereinfacht und bietet jetzt einfach nur noch die “Exos” Disks an. Die größte Disk bietet bisher eine beeindruckende Speicherkapazität von 32 Terabyte.  Ja, diese neuen Disks unterstützen die fortschrittliche Heat Assisted Magnetic Recording (HAMR) Technologie.  Allerdings unterstützen die kleineren Disk diese Funktion nicht.  Manche der “Exos” Disks sind mit SATA kompatibel, während andere den SAS Standard unterstützen (SCSI Protokoll). Die “Exos” Disks wurden speziell für größere Speicherdienste in Unternehmen entwickelt, können aber auch in einigen NAS Geräten für Unternehmensanwendungen eingesetzt werden.  Ein wesentlicher Unterschied zu den “einfacheren” Disk ist die erhöhte Sicherheit. Die “Exos” Disks verfügen beispielsweise über eine Selbstverschlüsselung und bieten Schutz vor Lieferkettenangriffen.   

 

Meta (früher bekannt als Facebook): verdient auch Geld mit der Datenerfassung auf Webseiten.  Es scheint nicht so, als wäre die Sicherheit der Daten ein Problem gewesen, denn Meta gibt an, dass diese vorbildlich gespeichert wurden.  Allerdings wurden wohl etwas mehr Daten erfasst als nötig.  Falls ihr euch dadurch geschädigt fühlt, könnt ihr euch einer Sammelklage beim österreichischen Verbraucherschutzverein anschließen und habt so die Chance auf eine Entschädigung von bis zu 1000 Euro.  Wenn ihr schon länger „Facebook“ nutzt, könntet ihr zu den Betroffenen gehören.  Tatsächlich betrifft es wohl das gesamte Social-Media-Angebot von Meta.  Weitere Informationen erhaltet ihr vielleicht auch beim deutschen Verbraucherschutz.  Bitte beachtet, dass ein mögliches Entschädigungsverfahren einige Jahre dauern kann. 

 

Apple: hat sein „Creator Studio“ gestartet – eine Sammlung von bereits sehr professionellen Produkten für Video, Musik, Design und Office. Die Office-Produkte sind übrigens schon Teil der im MacOS enthaltenen Office Suite.  „Office Suite“ klingt vielleicht etwas übertrieben, aber damit kann man Dokumente, Präsentationen und Tabellen erstellen und bearbeiten, und zwar auf einem soliden, aber kleineren Niveau.  Dank iCloud kannst man Dateien sogar ganz einfach austauschen. Das „Creator Studio“ erweitert zum Beispiel diese Produkte um zusätzliche Premiumfunktionen.  Bezahlt wird als Monatsabo oder als einmaliger Kauf, soweit ich weiß.