ComputerBase schrieb:
In der Praxis bedeutet das allerdings: Wenn sich die Verschlüsselung selbst nicht knacken lässt, muss Zitis einen Staatstrojaner entwickeln. Das setzt allerdings voraus, dass die Behörde Sicherheitslücken in Betriebssystemen wie Windows, Android oder iOS ausnutzt, um die Malware einzuschleusen.
Dieser Absatz lässt doch ein wenig am Sachverstand des Autors zweifeln. Der Staatstrojaner ist eine so genanntes Implant (ähnlich wie ein rootkit), der setzt erstmal gar keine Sicherheitslücken voraus.
Wie der Staatstrojaner auf den Rechner kommt ist eine ganz andere Frage. Hier können Sicherheitslücken eine Rolle spielen, müssen aber nicht. In der Vergangenheit kam oft Social Engineering zum Einsatz (z.B. Email mit gefälschtem Absender und bösartigem Anhang), oder Man-In-The-Middle auf SSL mit gefälschten Zertifikaten. Da das immer schwieriger wird, werden auch Evil-Maid-Angriffe beliebter: Wenn die Zielperson ihr neues Handy im Versandhandel bestellt,
braucht es halt einen Tag länger oder Notebooks dürfen plötzlich aus Sicherheitsgründen
im Flugzeug nicht mehr ins Handgepäck sondern nur noch in den Frachtraum.
ComputerBase schrieb:
So erklärte er laut der Süddeutschen Zeitung: „Wir schaffen keine Sicherheitslücken, diese existieren bereits und sind seit Jahren bekannt.“
Das ist in vielen Fällen auch korrekt so, nur wenige Android- (und inzwischen auch Windows-)Telefone sind auf einem aktuellen Sicherheitsstand. Und sowohl Smartphone- als auch PC-Hardwarehersteller lassen sich
oftmals mehrere Jahre Zeit, gemeldete kritische Sicherheitslücken auch zu beheben, wenn überhaupt.
Und selbst dort, wo ein 0-day-Exploit nötig wäre: Dann beauftragt man lieber einen externen Dienstleister oder bittet einen befreundeten Dienst, anstatt sich selber die Hände schmutzig zu machen. Je mehr Leute über einen 0-day Bescheid wissen, desto größer das Risiko, dass er publik wird.
