Von Googles Project Zero gibt es eine Analyse eine Angriffsserie auf Chrome, Android und Windows.
Interessant ist unter anderem die Analyse eine Bugs im Javascript-Interpreter in Chrome, der durch Optimierungen und die Komplexität des Typsystems von Javascript entstanden ist. Die Analyse zeigt wie kompliziert der Angriff ist, aber dennoch wurde er in freier Wildbahn beobachtet. In der weiteren Beschreibung wird auch erläutert, wie umfangreich und gezielt das beobachtete Angriffssystem aufgebaut ist. Die Angreifer haben gezielt für bestimmte Versionen und Betriebssysteme Code geliefert, der bestimmte Lücken ausgenutzt hat.
Nachspiel: Angriff des befreundeten Geheimdiensts
Wie sich im Nachgang herausgestellt hat, gingen die Angriffe, die Project Zero beobachtet und analysiert hat, von einem amerikanischen Geheimdienst aus und dienten der »Terrorabwehr«: Google's unusual move to shut down an active counterterrorism operation being conducted by a Western democracy. Somit kamen wieder Forderungen auf, dass Sicherheitslücken für »befreundete« Geheimdienste doch bitte schön offen gehalten werden sollen und dass Google womöglich den amerikanischen Geheimdienst darüber informiert haben könnte, dass sie die Lücken schließen.
Mich selbst hat es überrascht, das viele Kommentare bei LWN pro Geheimhaltung waren, obwohl bei LWN die Leserschaft aus Technikern besteht, die die Auswirkungen von Sicherheitslücken kennen. Ich denke, dies ist eine klassische Dilemmasituation und man findet immer wieder gute Pro- und Contra-Argumente und könnte bis zum Sanktnimmerleinstag darüber diskutieren. Aus meiner Sicht ist das ein deutliches Zeichen dafür, dass man sich nicht mit der Lösung dieser Situation (finden von Entscheidungsregeln) beschäftigen sollte, sondern dieses Problem strukturell angehen muss. Man muss genau beide Wege offen lassen und auch einfach akzeptieren, dass es Kooperationen mit Organisationen gibt, die einem das eine Mal schmecken und das andere Mal nicht.
Wichtig wäre, dass es noch drei oder vier weiter Project Zero quer über die Welt gibt. Es müsste in China, Russland und Europa ähnliche Programme geben, sodass die Wahrscheinlichkeit, dass mehrere Teams eine Beobachtung machen und eines davon sie veröffentlicht, einfach steigt. Aktuell hängt alles von Google ab und das ist strukturell nicht gut. Wir brauchen Vielfalt statt Regulierung.