Sicher nicht sicher
Apps, die unbemerkt Screenshots von Chatverläufen machen, Passwörter die geleakt werden, und Daten, die man an Dritte verkauft: Die Wiener Sicherheitsforscherin Martina Lindorfer beschäftigt sich mit solchen – für Laiinnen nur schwer nachweisbaren – Angriffen auf unsere Privatsphäre. Für ihre Arbeit im Bereich der Erkennung und Abwehr von Schadprogrammen auf mobilen Geräten erhielt die ehemalige Hackerin den Hedy Lamarr Preis der Stadt Wien. Wir trafen sie zum konspirativen Gespräch nebst Selbstversuch, eingekleidet in Mode von Ferrari Zöchling und abgelichtet von der Fotografin Anna Breit.
„Wir haben Apps gefunden, die permanent Screenshots von Smartphone-Bildschirmen machen.“
Viktoria Kirner: Sie sind Expertin im Bereich Datensicherheit auf Mobilgeräten: Spionieren uns Smartphones aus?
Martina Lindorfer: Smartphones per se nicht, wobei man schon aufpassen muss, was auf dem Handy vom Hersteller oder Verkäufer vorinstalliert wurde. Mein Team und ich nehmen Android Apps aus dem Google Play Store und anderen Quellen unter die Lupe und entwickeln Methoden, um zu überprüfen, welche Daten sie sammeln. Unser Ziel ist, Schadsoftware und Apps zu finden, die uns ausspionieren und unbemerkt Daten klauen.
Also spionieren uns unsere Apps aus?
Teilweise, ja. Im Zuge eines Forschungsprojektes, in dem wir vergangenes Jahr vermeintliche Abhörtätigkeiten von Facebook untersuchen wollten, haben wir Apps gefunden, die permanent Screenshots machen, während wir auf unseren Smartphones interagieren.
Auch von meinen Unterhaltungen und Chats?
Ja.
Kann man irgendwie nachvollziehen, wo diese Screenshots dann „hingehen“?
An ein „Qualitätssicherungsservice“, das die Funktionalität offiziell zur Verbesserung der Apps zur Verfügung stellt: eine Art Bibliothek, die in Apps eingebettet ist und die App-Betreiberinnen zukaufen. Der Betreiber, um den es damals ging, wusste gar nichts von diesen Screenshots. Er hat diese Bibliothek von einer Firma erworben, in dem Glauben, die App funktioniere dadurch besser. Die Screenshots gingen dann leider an dieses Subunternehmen.
Ist das ein weltweit agierendes Subunternehmen, das hinter vielen Apps steht?
Ja.
Sollte es nicht Ziel der Forschung sein, ein Programm zu entwickeln, das Schadsoftware von vornherein abwehrt? Macht so etwas nicht bereits ein Antivirenprogramm?
Virenschutz auf einem Android-Gerät bringt kaum etwas. Erst neulich wurde bekannt, dass der Betreiber einer Antivirensoftware seine Nutzerinnen ausspioniert und deren Daten verkauft hat. Abgesehen davon hat man bei der Programmherstellung für Smartphones nicht so viele Möglichkeiten: Das Antivirenprogramm ist auch nur eine App mit denselben Privilegien wie bei jeder andere auf dem mobilen Endgerät. Sie kann quasi mitteilen, ob man eine potenziell bösartige App installiert hat, aber sie kann Apps, die Daten mit Dritten teilen, nicht von vornherein abwehren.
„Am meisten schockiert mich, dass die Betreiberinnen einfach nicht dazulernen.“
Abgesehen von Apps, die sekündlich Screenshots von Bildschirmen machen: Was hat Sie im Rahmen Ihrer Forschung bisher am meisten schockiert?
Da gab es einige Fälle: Pinterest etwa hatte ein Problem beim Fehler-Reporting und hat Userinnen-Passwörter versehentlich an externe Server weitergegeben, die diese Passwörter wiederum gespeichert haben. Auch Match.com hatte ein Problem mit Passwörtern in der mobilen Version. Ein Jahr zuvor gab es das gleiche Problem auf der Website. Am meisten schockiert mich aber, dass die Betreiberinnen einfach nicht dazulernen.
Während wir sprechen, liegt mein Handy auf dem Tisch. Was hört es alles?
Ich glaube nicht, dass Apps mithören – sie würden es jedoch gerne. Die Spracherkennung steckt noch in den Kinderschuhen, und man kann Gesagtes noch gar nicht so gut auswerten. Vielleicht haben Sie das ja mitbekommen: Vor einiger Zeit wurde bekannt, dass sämtliche Sprachassistentinnen die Aufnahmen an Amazon oder Google schicken und dort dann wirklich Menschen sitzen, die auswerten, wie gut die Spracherkennung funktioniert.
Sie sagen also, Spracherkennung ist noch nicht weit genug entwickelt, um uns tatsächlich auszuspionieren ...
... zumindest nicht im großen Stil, wie man es vermuten würde.
Wenn ich mit jemandem in der Nähe meines Handys beispielsweise über einen neuen Badeanzug spreche, bekomme ich keine 15 Minuten später auf Instagram oder Facebook Werbe-Ads, die mir Bademodenkollektionen auf diversen Websites vorschlagen. Mein Handy spioniert mich aus. Ich bin mir sicher!
Ich kann mir schon vorstellen, dass man da paranoid wird, aber vermutlich haben Sie online etwas gesucht, das damit in Verbindung steht ...
... habe ich nicht, ich schwöre!
Sie haben möglicherweise „Urlaub“ oder das Wetter gegoogelt oder Seiten gelikt, die anderweitig darauf schließen lassen, dass Sie vielleicht bald in den Urlaub fahren – was wiederum indiziert, dass Sie möglicherweise einen neuen Badeanzug kaufen möchten. Uns ist meist gar nicht bewusst, wie viele Daten wir täglich beim Verwenden von Smartphone und Co. preisgeben. Hinter so vielen Diensten arbeiten Algorithmen, die Daten von Milliarden Leuten generieren, aus denen sie ein sehr genaues Bild von uns und unserem Leben bauen können.
Machen wir ein Experiment: Verwenden wir heute im Laufe des Interviews einen bestimmten Begriff mehrmals: Ich bin mir sicher, dieser wird mir heute noch in Form einer Werbeeinschaltung vorgeschlagen.
Das ist ein super Experiment! Dazu könnte man auch wunderbar forschen. Welches Wort verwenden wir?
Gummistiefel?
Schwierig – da könnte man auch sagen, das Handy schlägt Ihnen das nur vor, weil der Wetterbericht Regen vorhersagt. Aber versuchen wir’s: Ich habe überlegt, ob ich heute Gummistiefel anziehe.
Ich finde es sehr schwierig, schöne Gummistiefel zu finden.
Ich hätte bitte gerne transparente Gummistiefel.
In einem Gummistiefelgeschäft in 1070 gibt es transparente mit Glitzer. Vielleicht ist es aber besser, im Internet zu bestellen ...
... vielleicht gibt es bei Amazon schöne Gummistiefel!?
„Wie will man den Trumps dieser Welt klarmachen, dass Datenschutz wichtig ist?“
Apropos: Würden Sie über WhatsApp kommunizieren?
Ich mache es leider. Gruppenzwang. Obwohl es tatsächlich so unsicher ist, wie man hört. Am liebsten sind mir ja die Leute, die sagen, dass sie nicht auf Facebook sind, weil es so böse ist. WhatsApp benutzen sie dann aber!
Die Urban Legend stimmt also! Würden Sie auch die Aussage: „Die im Silicon Valley bestimmen ohnehin unser Leben!“ unterschreiben?
Leider ja. Technik wird von den vier großen dort ansässigen Firmen – Google, Apple, Facebook und Amazon – dominiert. Gerade Amazon stellt Unmengen an Infrastruktur, Cloud-Servern und Services für andere Dienste zur Verfügung. Im Endeffekt können diese vier machen, was sie wollen. Wenn es dann mal kleinere Player auf dem Markt gibt, werden jene sofort von den Riesen aufgekauft.
Woran liegt es, dass es keine internationalen Kontrollinstanzen für die Sicherheit unserer Smartphones gibt? Ist das Thema zu komplex? Gibt es zu wenig internationale Zusammenarbeit?
Internationale Kooperation ist generell sehr schwierig – gerade in diesem Bereich. Man muss nur an Trump denken: Wie will man den Trumps dieser Welt klarmachen, dass Datenschutz wichtig ist? Uns allen ist zu wenig bewusst, wie viel Macht gewisse Unternehmen haben.
„Wenn man jetzt paranoid ist, könnte man sagen, dass Russland und China eine riesige Datenbank mit Gesichtern aufbauen.“
Speaking of: Amazon, Netflix und Co. – was sind Ihre digitalen Laster? Benutzen Sie diese Dienste so sorglos wie die meisten anderen auch?
Ich benutze – leider – Amazon und Netflix. Aber ich versuche generell, wenige Apps zu installieren und mache nicht jeden Blödsinn mit. Diesen Trend mit den Face-Apps, die Gesichter älter machen, habe ich zum Beispiel ausgelassen. Es hat sich herausgestellt, dass diese eine App die Fotos von den Gesichtern auf einem externen Server in Russland bearbeitet und nicht lokal auf dem Handy. Wir haben auch andere Apps gefunden, die solche Daten wiederum in China bearbeiten. Wenn man jetzt paranoid ist, könnte man sagen, dass Russland und China eine riesige Datenbank mit Gesichtern aufbauen.
Total beruhigend! Ich habe gelesen, Sie zählen zu den weltbesten Hackerinnen. Können Sie sich damit identifizieren?
Schwierig, denn der Begriff „Hacker" ist sehr vorbelastet. Da denkt man an einen missverstandenen jungen Mann, der im schwarzen Kapuzenpulli in einem finsteren Keller hockt und etwas Böses plant. Ich habe hingegen vor ein paar Jahren mit einem Team regelmäßig an Hacker-Wettbewerben teilgenommen. 2011 waren wir sogar in Las Vegas bei den Hacker-Weltmeisterschaften. Daher kommt diese Betitelung wahrscheinlich ...
Wie kann man sich eine Hacker-Weltmeisterschaft vorstellen?
Man bekommt ein System vorgesetzt, das Schwachstellen hat und Sicherheitslücken aufweist. Diese muss man finden, „fixen“ und bei dem System der Gegnerinnen ausnutzen. Man arbeitet in einem Team von acht bis zehn Leuten – de facto sind die Teams aber immer größer, weil niemand überprüfen kann, wie viele Leute außerhalb des Raumes noch daran beteiligt sind. Die russische Mannschaft ist beispielsweise mit 80 Leuten angereist. Die sind dann alle in Hotelzimmern gesessen und haben mitgearbeitet. Hackerinnen finden gewissermaßen immer irgendeinen Weg zu cheaten.
Dieses negative Bild der Hackerinnen, die sich vernetzen und geheime Pläne schmieden, um die Weltherrschaft an sich zu reißen, ist also überholt?
Schon in den 80ern, in denen der Begriff seinen Ursprung hat, waren Hacker keine Bösewichte, sondern eher Leute, die total nerdy und geeky, rein aus Neugierde, wissen wollten, wie Dinge funktionieren und wie man Schranken umgehen kann. Heutzutage ist die Szene sehr vernetzt. Es findet praktisch wöchentlich irgendein Wettbewerb statt. Im Endeffekt ist alles ein großes Spiel. Man lernt dabei enorm viel über Datensicherheit, Security-Konzepte und wie man Schwachstellen ausnutzt und beseitigt. Wir gestalten auch unsere Übungskurse an der Uni auf diese Weise.
„Heutzutage rufen viele Firmen Hackerinnen aktiv dazu auf, Sicherheitslücken in den Systemen aufzeigen. Findet man jene, wird man belohnt.“
Mittlerweile suchen auch viele Website-Betreiberinnen die Zusammenarbeit mit Hackerinnen.
Hier hat sich in den vergangenen Jahren einiges verändert: Wenn man früher als Hackerin bei irgendwelchen Websites eine Schwachstelle gefunden und das den Betreiberinnen reportet hat, haben diese sofort mit Anwältinnen gedroht und die Tatsache, dass man eine Sicherheitslücke „erhackt“ hat, kriminalisiert. Heute gibt es sogenannte „Bug Bounties“. Viele Firmen rufen aktiv dazu auf, Sicherheitslücken in ihrem System aufzeigen. Wenn man Schwachstellen findet, wird man belohnt.
Haben Sie den Film „Hackers“ mit Angelina Jolie gesehen? Da haben alle Hacker-Namen wie: Zero Cool, Phantom Phreak, Acid Burn, Lord Nikon. Was war Ihrer?
Oh ja, ich erinnere mich an diesen Film. In unserem Team hatten wir damals ein Programm, das für jeden automatisch einen Nickname generierte. Meiner war „Trance Ace Clown.“
Wurden Sie selbst schon mal gehackt?
Wir Sicherheitsforscherinnen sind schon manchmal Ziel von Angriffen. Man sagt oft, unsere Laptops und Festplatten wären bei Sicherheitskonferenzen in den Hotelzimmern nicht sicher. Die kann man natürlich verschlüsseln, aber wenn eine Hackerin etwas hacken will, dann findet sie einen Weg.
„Theoretisch könnte jede Eure Website hacken.“
Könnten Sie hier aus dem Stegreif unsere Website hacken?
Eine Website offline zu bringen ist ganz einfach. Man kann etwa im Darknet Services kaufen, damit einer Website so viele Anfragen geschickt werden, dass sie überfordert ist. Also ja, ich könnte Eure Website lahmlegen, theoretisch.
Welche Website oder wessen Account würden Sie gerne mal lahmlegen? Den Twitter-Account von Donald Trump vielleicht?
Da fällt mir gerade nichts ein. Was würden Sie gerne lahmlegen?
Die Website von Unzensuriert.at zum Beispiel ...
... ah, die waren mal lustig! Ich habe eine Professur an der TU-Wien, die nur für Frauen ausgeschrieben war. Unzensuriert.at hat die Ausschreibung gepostet und einen Artikel darüber geschrieben, wie unfair das sei. Die sind auch meine Lieblinge!
„Ich glaube, dass wir die Kontrolle über das Internet verlieren.“
Sie haben 2019 den Hedy Lamarr Preis der Stadt Wien für innovative Frauen im IT-Bereich erhalten. Hedy Lamarr widmete sich mit ihrer wichtigsten Erfindung einer der größten Bedrohungen der damaligen Zeit – der Abwehr von U-Booten. Was sind die größten Bedrohungen unserer Zeit?
Ich glaube, dass wir gerade dabei sind, die Kontrolle über das Internet zu verlieren. Momentan haben wir noch die Illusion, dass wir sie behalten, aber im Endeffekt sind wir total machtlos gegenüber den großen Konzernen und dem, was mit unseren Daten gemacht wird. Wir glauben, dass Apps gratis sind, und wissen gar nicht, wie viel Geld eigentlich im Hintergrund mit unseren Daten gemacht wird. Fakt ist nun einmal, dass die großen Player Google und Co. gar kein Interesse daran haben, unsere Privatsphäre zu schützen. Sie liefern das Betriebssystem und die Suchmaschine, die alle nutzen, und sind die größten Werbetreiber. Sie alle profitieren von personalisierter Werbung.
Sehen Sie Ihre Forschung als Kampf gegen Windmühlen?
Die Frage ist eher: Was können wir an der Uni groß bewirken? Wir können maximal Teststudien, sogenannte Beta-Tests, mit einer kleinen Gruppe Probandinnen durchführen – unser Endprodukt ist ein Research-Paper, in dem wir Schwachstellen aufzeigen. Unsere Rolle ist es nun mal nicht, fixfertige Produkte auf den Markt zu bringen. Dafür haben wir weder die nötige Zeit noch die Ressourcen – die wir aber natürlich gerne hätten. Also falls das gerade jemand liest ...
... möge sie oder er diese zur Verfügung stellen! Vielen Dank für das Gespräch!
(Werbeanzeigen für Gummistiefel haben wir übrigens keine bekommen. Da haben uns die Smartphones wohl durchschaut.)