Android – politik-digital

Digitale Kopfgeldjäger

Katharina Schuchmann — Thu, 01 Sep 2016 07:57:10 +0000

Dass Technologien Macken und Netzwerke Lücken haben, damit sind wir alle dank andauernder Updatezyklen ausreichend vertraut. Immer mal wieder generiert eine Schwachstelle große mediale Aufmerksamkeit wie zuletzt die angreifbaren Qualcomm Chips, die in bis zu einer Millionen Android Geräten verbaut waren. Aber wie kommen solche Sicherheitslücken überhaupt ans Licht? Und wie verhindern wir, dass sie ausgenutzt werden?

Der Patch, also das Sicherheitsupdate, vieler Hersteller, die auf Android setzen und Qualcomm Chips verwenden, ließ lange auf sich warten. Ein bekanntes Problem der Android-Lieferkette und der Grund, weshalb der potentielle „Quadrooter“-Angriff überhaupt so bekannt wurde. Standardmäßig haben Hersteller nämlich 90 Tage Zeit, ein Patch für eine Sicherheitslücke bereitzustellen, bevor diese öffentlich gemacht wird. So hatte die Firma „Check Point Software Technologies Ltd“ die von ihnen gefundene Schwachstelle im April an Qualcomm gemeldet und nun Anfang August, nach Ablaufen der Frist, auf dem Hackerkongress DefCon in Las Vegas vorgestellt.

Mit Sicherheitslücken zur Berühmtheit

„Check Point“ ist eine Sicherheitsfirma und die Veröffentlichung einer Sicherheitslücke wie der Quadrooter-Angriff ist in erster Linie ruf- und damit profitfördernd. Liest man beispielweise die Blogeinträge des Unternehmens zu gefundenen Schwachstellen, wird man an mehreren Stellen auf die Sicherheitskonzepte und -dienstleistungen Check Points hingewiesen. Auch für Privatpersonen, die Schwachstellen in Systemen fanden, war das Veröffentlichen von Lücken lange ein Weg, den eigenen Namen in Programmierer_innen-Kreisen zu etablieren. Vor allem in den frühen Jahren der Informations- und Kommunikationstechnologien, wo es an standardisierten Qualifikationen und Zeugnissen mangelte, konnte man so sein Können unter Beweis stellen.

Heutzutage stehen Programmierer_innen vor einem breiteren Spektrum an Möglichkeiten, wenn ihnen eine Schwachstelle begegnet. Firmen haben früh begriffen, dass das ‚crowdsourcing‘ von Sicherheit ungemein effektiv sein kann und angefangen, kleinere Summen als Finderlohn auszuzahlen. Solche Belohnungssysteme haben sich unter dem Namen „Bug Bounty“ (also in etwa: Kopfgeld für Schädlinge) etabliert. Der erste Weg, den man also einschlagen kann, wenn man eine Sicherheitslücke entdeckt hat, ist das entsprechende Unternehmen zu informieren, in vielen Fällen eine kleine Summe zu kassieren, den Patch des Entwicklers abzuwarten und dann den Rufzuwachs durch die Assoziation mit dem gefundenen Risiko zu genießen.

Der Handel mit Unsicherheiten

Wesentlich lukrativer geht es allerdings auf dem Schwarzmarkt zu. Motivierte Kriminelle sind häufig bereit, ein Vielfaches der offiziellen Bug Bounties zu zahlen. Nachteile sind natürlich, dass man sich so potentiell strafbar macht und im weiteren Sinne auch jegliche Kontrolle über die Nutzung der Unsicherheit verliert. Ob ein_e Käufer_in die Information für sich nutzt oder weiterverkauft, wird kaum nachzuverfolgen sein – an Interessent_innen mangelt es jedenfalls nicht. Gerüchteweise hat auch das FBI für etwa $1 Million eine Sicherheitslücke erstanden, um das iPhone des San Bernardino-Täters zu knacken. Ob sie dazu auf Schwarzmarktgebote zurückgriffen, ist nicht bekannt, häufig aber auch gar nicht notwendig.

Denn in den letzten zehn Jahren sind zunehmend ganz legale Zwischenhändler für Systemunsicherheiten auf den Plan getreten. Hierin besteht nun also eine weitere Möglichkeit Schwachstellen loszuwerden, will man sich weder an das Unternehmen selbst wenden noch die Risiken des Schwarzmarktes in Kauf nehmen. Solche Händler operieren meist international und bieten ihren Kunden jährliche Abonnements mit je nach Preisklasse verschieden ausführlichen Berichten und Anwendungsanleitungen zu Sicherheitslücken. Transparenz ist kein Anliegen solcher Firmen wie z.B. „Zerodium“, deren Kundenbasis laut eigener Aussage aus großen Unternehmen in der Tech- sowie Finanzbranche als auch Regierungsorganisationen bestehen, welche mindestens $500,000 pro Jahr zahlen. Diese Summen erklären auch, wie Zerodium, die vor Kurzem eine Preisliste für Unsicherheiten veröffentlichten, in der Lage ist, bis zu eine halbe Million Dollar für eine Lücke in Apples iOS zu zahlen. Apple selbst hat Anfang dieses Monates als größtmögliche Belohnung „nur“ $200.000 ausgelobt.

Ring frei für den Preiskampf

Dabei handelt es sich zwar schon um die Königsklasse der Unsicherheiten; was sich aber eindeutig feststellen lässt, ist ein rapider Anstieg der Preise, die für Sicherheitslücken gezahlt werden. 2013 war die höchste Belohnung, die Facebook je an eine_n Kopfgeldjäger_in gezahlt hatte $33.500, Googles Top Auszahlung wurde mit $31.336 beziffert – heutzutage zahlt Google schon bis zu das Dreifache dieser Summe. Das Sicherheitsunternehmen Bugcrowd spricht sogar davon, dass ihre Sicherheitsforscher_innen in den letzten zwölf Monaten einen Zuwachs von 47% in der Durschschnittsauszahlung pro „Bug“ verzeichneten.

Zu erkennen ist also ein Preiskampf um Sicherheitslücken, der die Belohnungen immer weiter in die Höhe treibt. Das liegt daran, dass zum einem die Nachfrage nach Sicherheitslücken das Angebot weit überschreitet. Zum anderen ist es auch nicht einfach für jeden möglich, in das Geschäft um die Sicherheitslücken einzusteigen und so anderen deren Gewinn streitig zu machen, da ein hohes Niveau an technischem Know-How gefragt ist. Erstmal eine erfreuliche Entwicklung für alle Sicherheitsforscher_innen, darüber hinaus aber ergeben sich aber zwei Probeme. Erstens: Wenn Firmen mit immer höheren Sicherheitskosten konfrontiert sind, sind sie theoretisch irgendwann gezwungen höhere Preise zu verlangen, um ihre Kosten zu decken. Da aber gerade Technologie-Giganten wie Apple oder Google die weltweit höchsten Gewinne erzielen, sollten steigende Kosten zumindest kurzfristig kein Problem darstellen. Zu hinterfragen wäre vielleicht eher, ob Steuergelder in solche Preiskämpfe miteinfließen sollten. Denn im Endeffekt üben Zwischenhändler wie Zerodium mit ihren teilweise astronomischen Belohnungen großen Druck auf den Markt aus und das Kapital solcher Firmen stammt unter anderem aus den Abonnementzahlungen verschiedener Regierungen.

Das zweite Problem ist die undurchsichtige Struktur solcher Zwischenhändler, generell mangelt es nicht an Kritik an den Geschäften innerhalb der Cybersicherheitsbranche. Zurückführen kann man das auf die Dual-Use Natur von Technologien – in zweierlei Hinsicht. Einerseits können verschiedene Anwendungen sowohl im zivilen wie auch militärischen Bereich von Nutzen sein. Andererseits können z.B. Sicherheitslücken für offensive sowie defensive Vorgehen eingesetzt werden. Soll heißen, weiß man um eine Sicherheitslücke, kann man sie schließen – oder ausnutzen.

Mit der Einführung von Bug Bounty Programmen und wiederholtem Erhöhen von Belohnungen scheinen Firmen sich angesichts immer neuer Technologien, Lücken und Krimineller jedenfalls nicht ausschließlich auf das Moralverständnis von Sicherheitsforscher_innen verlassen zu wollen.

Titelbild: Lego Cowboy von Chris Sheppard via flickr, licenced CC BY 2.0

EU-Kommission gegen Google: Worum geht’s?

Jan Voß — Tue, 28 Apr 2015 08:19:15 +0000

Unerwünschte, vorinstallierte Apps auf dem neuen Smartphone, bezahlte Anzeigen und die Ergebnisse von Google Shopping bei der Google-Suche. Die Europäische Kommission hat nun Kartellbeschwerde wegen Ausnutzung des Marktmonopols gegen den Suchmaschinenbetreiber Google eingereicht. Über die Vorwürfe und mögliche Folgen.

Seit 2004 steht „googlen“ im Duden, und mindestens genauso lange wird das Wort synonym für die Informationssuche im Internet genutzt. Der US-Suchmaschinenanbieter ist längst zum Quasi-Monopolisten in der Branche aufgestiegen und für viele nicht mehr aus Internet und Alltag wegzudenken. Der angebotene Service ist derweil zum Milliardengeschäft geworden. Nicht nur die Verwendung der aus Suchanfragen entstehenden Daten, auch die Auffindbarkeit von Dritt-Unternehmen und -AnbieterInnen in den Suchergebnissen wird jedoch seit Längerem von DatenschützerInnen, PolitikerInnen und konkurrierenden Internet-Unternehmen kritisch beobachtet.

Angeführt wird die Riege der KritikerInnen von der Europäischen Kommission, die nun in Brüssel Kartellbeschwerde gegen den Suchmaschinenbetreiber eingereicht hat. Die zuständige EU-Wettbewerbskommissarin Margrethe Vestager vermutet, dass Google seine Marktmacht missbraucht, um Mitbewerber zu benachteiligen – und das zum Schaden der VerbraucherInnen. Der konkrete Vorwurf: Google bevorzugt systematisch seinen eigenen Preisvergleichsdienst auf seinen allgemeinen Suchergebnisseiten. Bei manchen Google-Produktsuchen würden an prominenter Stelle Ergebnisse mithilfe der für VerkäuferInnen kostenpflichtigen Google-Produktsuche „Google Shopping“ und bezahlter Anzeigen platziert. Googelt man beispielsweise nach Schuhen, werden einem in einem prominent platzierten Kasten unterschiedliche Anbieter zum Preisvergleich präsentiert. Bei genauerem Hinsehen stellt man fest, dass hier nur ein einziger Anbieter gelistet wird. EU-Kommissarin Vestager sieht darin einen Verstoß gegen das europäische Wettbewerbsrecht.

EU-Kommission sieht Schaden für VerbraucherInnen bei Google-Suche und Android

Fünf Jahre hat die Kommission ermittelt, bevor sie in der vergangenen Woche ein „Statement of Objections“ – eine Art Anklageschrift – an Google Shopping versandt hat. Der Konzern hat nun zehn Wochen Zeit, um auf die Beschuldigungen zu antworten. In einigen Ländern hat Google einen Marktanteil von bis zu 90 Prozent. Sollte dieses EU-Wettbewerbsverfahren die Schuld von Google feststellen, kann dem Konzern ein Bußgeld von bis zu zehn Prozent des Jahresumsatzes drohen. Ausgehend vom Jahresumsatz 2014 wären das 6,6 Milliarden Euro. Der Konzern hatte sich zuvor bereits mehrfach zu Zugeständnissen bereit erklärt. Zuletzt hatte Google eine Verpflichtungszusage angeboten, konkurrierende Suchdienste gleichwertig mit den eigenen Diensten darzustellen. Mit dieser hatte sich Vestagers Vorgänger in der EU-Kommission Joaquín Almunia zufrieden gegeben und dem Konzern damit eine Milliardenstrafe erspart.

In ihrem zweiten Anklagepunkt wirft die Kommission Google vor, die VerbraucherInnen auch beim Betriebssystem Android zu benachteiligen. Das Betriebssystem ist auf mehr als 80 Prozent aller Smartphones und Tablets installiert. Der Konzern soll nun Hersteller dieser Geräte gezwungen haben, ausschließlich Google-Anwendungen oder -Dienste vorzuinstallieren.

Google: Alle Änderungen im Interesse der eigenen NutzerInnen

Laut Presseberichten beruht das Kartellverfahren auf 19 Beschwerden aus Europa und den Vereinigten Staaten. Zu den BeschwerdeführerInnen zählen unter anderem Microsoft, der Verband Deutscher Zeitschriftenverleger (VDZ) und das Online-Vergleichsportal TripAdvisor. An den vorgebrachten Behauptungen der Kommission äußern erste JournalistInnen jedoch Kritik. Die Anschuldigungen seien nicht ausreichend belegbar. Den Argumenten fehle es an Substanz. Google hat bereits auf die Vorwürfe reagiert: Alle Änderungen der vergangenen Jahre – etwa die direkte Anzeige von Informationen zu Wetter und Produkten – seien im Interesse der eigenen NutzerInnen erfolgt. Auch den Android-Vorwurf lehnt das Unternehmen ab. Android sei ein OpenSource-System, Dritthersteller könnten also eigene Varianten des Betriebssystems ganz ohne Google-Services anbieten.

Der Rechtsstreit zwischen der Europäischen Kommission und Google hat gerade erst begonnen und wird sich wohl über eine längere Zeit erstrecken. Ein ähnliches Verfahren, das in den 1990er Jahren von der Kommission gegen Microsoft angestrebt worden war, kam erst 2013 zum Abschluss. Beim aktuellen Verfahren gegen Google werden nun Gutachten gegen Gutachten eingebracht. Jedoch ist das Verfahren nur der erste Schritt. Frankreich beispielsweise möchte Google möglicherweise zur Offenlegung seiner Suchalgorithmen zwingen. Ein entsprechender Gesetzentwurf liegt dem französischen Senat bereits vor. Und auch in Deutschland wurde und wird immer wieder über ein härteres Vorgehen gegen Google diskutiert, so äußerten sich zuletzt Bundesinnenminister de Maizière und die Bundesdatenschutzbeauftragte Andrea Voßhoff kritisch über Google.

Bild: Wataru Ozaki

Polit-APParatschiks

Rita Schmidt — Tue, 21 Sep 2010 09:20:23 +0000

Ob Umfrageergebnisse, Wahlprogramme oder Kontaktdaten von Abgeordneten – mit den sogenannten Apps lassen sich per Smartphone schnell und mobil Daten aus der Politikwelt abrufen. politik-digital.de hat die interessantesten Polit-Apps zusammengestellt.

Über 250.000 Apps im App-Store von Apple, über 50.000 bei Android – und dennoch wenig Politik in Sicht. politik-digital.de hat sich im schnell wachsenden Markt der Anwendungen für Mobiltelefone umgesehen.

Partei-APParate

Die erste Bundespartei mit einer App war die SPD. „iSPD“ wurde für den Wahlkampf 2009 entwickelt und Ende April 2010 überarbeitet. Im Sommer 2010 folgten zwar BÜNDNIS 90/ DIE GRÜNEN (iPhone, Android) und die FDP (iPhone, Android) in Nordrhein-Westfalen und die CDU in Thüringen, doch nur mit jeweils regionalen Apps. Diese Anwendungen präsentieren Landtagskandidaten, Wahlprogramme, News-Updates oder Twitter-Meldungen. Ende 2010 wollen auch FDP und Linkspartei eine App veröffentlichen, so die jeweiligen Pressestellen gegenüber politik-digital.de.

APPgeordnete sehr erfolgreich

Mit der kostenlosen Bundestags-App für iPhone und Co. stieg im September 2010 das Parlament in das App-Geschäft ein, wie politik-digital.de berichtete. Mit dem Programm kann man sich unter anderen detaillierte Infos zu Abgeordneten oder Debatten aus dem Bundestag auf das Mobiltelefon holen. In den ersten zwei Wochen wurde die Applikation nach Angaben des Bundestages rund 130.000 heruntergeladen. In den App-Charts liegt sie damit in der Kategorie "Nachrichten" auf Platz 1 vor n-tv, Stern, Zeit, Focus und Spiegel. Unter den Top 25 "Meistgeladenen" allgemein belegt sie aktuell den 4. Platz.

Neben der Bundestags-App gibt es auch das traditionelle Parlaments-Nachschlagewerk. „iKürschner“ heißt das 7,99 Euro teure Exemplar, das unter anderen Daten zu Lebensläufen und Abgeordneten-Profilen in sozialen Netzwerken bietet oder eine regionale Suche nach Abgeordneten ermöglicht.

Fakten, Fakten, Fakten

Weitere Apps listen entweder die täglichen Internetaktivitäten der Abgeordneten auf, geben Einblicke in die deutschen Gesetzestexte oder trainieren für einen Obolus von 0,99 Dollar per Quiz die politischen Gehirnzellen.

Wer sich auf europäischer Ebene schlau machen will, kann sich die kostenlose „European Union Factbook“-App herunterladen. Neben Wissenswertem zu einzelnen Mitgliedstaaten kann man beispielsweise Daten über die EU-Geschichte oder deren Institutionen abrufen.

APPsolut komplex

Bereits seit 2008 hat der US-Congress eine App. „Congress“ für 0,99 Dollar und „Congress+“ für 4,99 Dollar liefern ausführliche Berichte über die Parlamentarier aus Washington.

Ein komplexes Informationsangebot bietet die kostenlose App „Election Caster“ (Android) aus den USA. Die Anwendung bündelt ein Sammelsurium an nationalen und lokalen Informationen, Umfrageergebnissen, politischen Blogs, Twitter-Meldungen, Wahl-Kandidaten und vielem mehr. Vergleichbar damit ist die 2.99 Dollar teure britische App „ukPolitics“, die zusätzlich politische Youtube-Videos abspielt.

Eine umfangreiche Zusammenfassung aus englischen und deutschen Politik-Nachrichtenquellen liefert die „asap – Politics“-App für 1,99 Dollar. Ob FAZ, Spiegel, New York Times oder BBC, mit einem Klick werden alle relevanten Nachrichten angezeigt.

Sie kennen eine informative, praktische oder bemerkenswerte Polit-App? Hinweise gerne in den Kommentaren!

Handy-Software für den Widerstand

jknocha — Tue, 15 Dec 2009 11:51:53 +0000

Autoritäre Regime und ihre Gegner befinden sich bei digitalen Kommunikationskanälen in einem ständigen Wettrüsten, so der Programmierer Nathan Freitas. Nun soll seine kostenlose Handy-Software "Guardian" die Arbeit von Regimegegnern sicherer machen.

Video von openideals.com/guardian

Bei Verhaftungen von Oppositionellen in autoritären Regimen wird das Handy schnell zum Beweisstück für deren Aktivitäten. Bilder, Videos und Textnachrichten können so leicht zu potentiellen Gefahrenquellen für Regimegegner werden. Die neue Handy-Software "Guardian" will dem entgegenwirken. Mit Hilfe der von Programmierer Nathan Freitas entwickelten Applikation soll die Benutzung des Mobiltelefons für oppositionelle sicherer werden.

Geplante Anwendungen sind zum Beispiel die Verschlüsselung von Kurzmitteilungen oder Gesprächen. Besonders interessant auch: Mit einem einzigen Tastendruck können bestimmte Daten schnell gelöscht werden.

"Guardian" ist nur mit dem Betriebssystem Android kompatibel. Die Open-Source-Software soll die Technologie besonders für Aktivisten in Entwicklungsländern interessant machen. Wann genau die Software zur Verfügung stehen wird, ist noch nicht bekannt.