Die USA lassen neue Routermodelle für den Verbrauchermarkt („Consumer-Grade“) nur noch zu, wenn sie zur Gänze in den USA entworfen, entwickelt und produziert werden. Das wäre eine tolle Nachricht für Hersteller solcher Router. Doch solche Produzenten gibt es nicht. Das zeigt sich schon daran, dass niemand „Made in USA Router for the Consumer Segment“ (MURCS) anpreist.

Bereits genehmigte Routermodelle dürfen weiter verkauft und genutzt werden, doch sind Updates von Firmware und Software verboten. Für Sicherheitsupdates gibt es eine Ausnahme bis 1. März 2027. Was als „consumer-grade“ gilt, ja sogar, was als „Router“ gilt, bleibt offen. Und bis heute schweigt die FCC zu Fragen von heise online, ob Open-Source-Software als inländisch oder ausländisch eingestuft wird, und wie es um ausländische Patente steht.

Gleichzeitig ist das Verbot streng: „Production generally includes any major stage of the process through which the device is made, including manufacturing, assembly, design, and development.“ Also jeder wichtige Schritt bei Design, Entwicklung, Produktion und Zusammenbau muss in den USA erfolgen. Mit Zusammenstecken asiatischer Teile in US-Gefängnissen wäre es nicht getan.

Die republikanisch geführte Regulierungsbehörde FCC (Federal Communications Commission) begründet das Verbot mit einer geheimen Feststellung nicht genannter Geheimdienste, wonach ausländische Verbraucher-Router ein „inakzeptables Risiko für die nationale Sicherheit“ darstellen. Diese Feststellung erfüllt formal die gesetzliche Vorgabe (47 U.S.C., Paragraph 1601[c]) für das Verbot. Dieselbe Floskel wandte die FCC im Dezember auch beim Verbot neuer ausländischer Flugdrohnenmodelle an.

Typhoon

Die veröffentlichte Zusammenfassung der geheimen Feststellung der geheimen Geheimdienste erwähnt mögliche Folgen mangelhafter Sicherheit bei Routern: „Störung von Netzverkehr, Ermöglichung lokaler Netzspionage und Verletzung von Immaterialgüterrechten.“ Dazu kommen scheinbar harte Fakten: „Zusätzlich waren im Ausland hergestellte Router direkt verwickelt in die Angriffe von Volt, Flax und Salt Typhoon, die kritische amerikanische Kommunikations-, Energie-, Verkehrs- und Wasserinfrastruktur im Visier hatten.“

Das ist nicht ganz falsch. Router hatten durchaus etwas damit zu tun. Und weil es nach US-Definition inländische Router nicht gibt, waren es, zwangsweise, ausländische Router.

Volt

2023 machte Microsoft darauf aufmerksam, dass chinesische Angreifer Betreiber kritischer Infrastruktur ausspionieren. Zur Verschleierung des Datenverkehrs nutzten sie tatsächlich fremde „Small Office/Home Office“-Router (SOHO). Die Abgrenzung zwischen SOHO und Consumer-Grade ist unklar, aber zweitrangig. Denn Volt Typhoons Einfallstore waren Lücken in Fortinet-Firewalls, die Verbraucher nicht zu betreiben pflegen.

Flax

Mit Flax Typhoon ist ein großes Botnet gemeint, das zum Zeitpunkt seiner Entdeckung 2024 über 260.000 Router und vernetzte Geräte des Alltagsgebrauchs (IoT) ahnungsloser Haushalte ausnutzte. Die zahlenmäßig meistbetroffenen Länder waren die USA, mit großem Abstand gefolgt von Vietnam und Deutschland. Das Botnet wird der Volksrepublik China zugeschrieben und nutzte 66 öffentlich bekannte Sicherheitslücken aus; die älteste war bereits 2015 bekannt.

Wie das amtliche Cybersecurity Advisory zeigt, sind 98,5 Prozent der Prozessoren der für Flax Typhoon missbrauchten Geräte in den USA entwickelt worden. Nur 1,5 Prozent waren demnach ARM-Geräte, deren Ursprung in britischen Designs liegt. Am Prozessordesign, das fortan amerikanisch sein muss, kann es also nicht gelegen haben. Das Advisory vom September 2024 empfiehlt unter anderem, Updates einzuspielen, Default-Passwörter durch eigene, starke zu ersetzen und Geräte vom Netz zu nehmen, wenn der Hersteller sie nicht mehr unterstützt. Woher man zuverlässig wissen soll, dass der Hersteller seine Produkte nicht mehr absichert, bleibt offen.

Salt

Salt Typhoon war eine erfolgreiche chinesische Spionage(-abwehr)-Mission in dutzenden Ländern. In den USA drangen die Angreifer bei großen Netzbetreibern ein, darunter AT&T, Verizon und T-Mobile. Ironie der Geschichte: Die Spione nisteten sich ausgerechnet in jenen Systemen ein, die die USA zum Abhören von Telefonaten und Kopieren fremder Datenübertragungen nutzen.

Die Eindringlinge nutzten bereits bekannte Lücken in riesigen Cisco-Routern, die niemand bei sich zu Hause betreibt. Die Netzbetreiber hatten es versäumt, voreingestellte Passwörter zu ändern und Updates gegen bekannte Softwarefehler einzuspielen. Gefürchtete Zero Days, also zuvor unbekannte Sicherheitslücken, wurden laut offiziellen US-Untersuchungen nicht ausgenutzt.

Das mit der Untersuchung befasste Cyber Safety Review Board hat Donald Trump auflösen lassen. Das war ihm so wichtig, dass die Anordnung am ersten Tag seiner zweiten Amtszeit als US-Präsident ergangen ist.

Die Entwickler der anonymisierenden Linux-Distribution Tails haben die Version 7.6 veröffentlicht. Darin setzen sie auf einen neuen Passwort-Manager und stellen bessere Verbindungsoptionen bereit.

Die Versionsankündigung erklärt die Änderungen in Tails 7.6. Um in Umgebungen anonym ins Netz zu gehen, in denen Zensoren den regulären Zugang zum Tor-Netzwerk blockieren, können sogenannte Tor Bridges helfen, die Zensur zu umgehen. Die Tails-Entwickler empfehlen, die Option „Automatisch mit Tor verbinden“ beim Öffnen einer Tor-Verbindung auszuwählen. Sofern der Zugriff auf das Netzwerk blockiert ist, bietet der Bridge-Konfigurationsdialog nun die neue Option „Ask for a Tor bridge based on your region“. Die Funktion ist identisch mit der aus dem Standalone-Tor-Browser, die dieser seit Juli 2022 mitbringt. Sie tarnt die Verbindung mittels sogenanntem Domain Fronting, was auf Redirects von Domains bei CDN-Anbietern und Verschlüsselung mittels HTTPS setzt und sich von Zensurmaßnahmen nur schwerlich erkennen lässt.

Tails 7.6: Anderer Passwort-Manager

Außerdem haben die Maintainer von Tails nun den Passwort-Manager „Secrets“ zum Standard gemacht. Er ersetzt das bislang eingesetzte KeePassXC. Die Bedienoberfläche davon fällt einfacher aus und ist besser in den Gnome-Desktop integriert, argumentieren die Programmierer. Dadurch klappt auch der Einsatz von Barrierefreiheitsfunktionen wie Bildschirmtastatur oder angepasste Cursor-Größe. Secrets kann direkt die KeePassXC-Datenbank nutzen, da es das gleiche Dateiformat zum Speichern von Passwörtern nutzt. Wem dadurch etwas fehlt, steht die Installation von KeePassXC als Zusatzsoftware offen.

Weitere Änderungen umfassen die Aktualisierung von Kernkomponenten. Electrum ist nun auf Version 4.7.0 gesprungen, der Tor Browser auf 15.0.8. Thunderbird kommt in Fassung 140.8.0 mit. Die Firmware-Pakete haben die Tails-Entwickler ebenfalls aktualisiert, wodurch neuere Hardware besser unterstützt wird. Das umfasst Grafikkarten, WLAN-Chipsätze und so weiter. Kleinere Fehlerkorrekturen listet die Versionsankündigung ebenfalls auf.

Tails 7.6 steht als USB-Abbild zum Verfrachten auf USB-Sticks sowie als ISO-Image zum Brennen auf DVD oder zum Einsatz in einer VM zum Herunterladen bereit. Auf USB-Stick dient Tails zum anonymen Surfen im Netz etwa auf fremden Rechnern, die sich einfach damit starten lassen.

Die Version 7.5 von Tails erschien Ende Februar und hat Änderungen bei der Thunderbird-Integration gebracht. Das soll für mehr Sicherheit sorgen, da Thunderbird als Zusatzpaket immer auf aktuellem Stand installiert wird.

(dmk)

Am Freitag hat das Weiße Haus eine offizielle Applikation für Android und iOS veröffentlicht. Sie verspricht „direkten Zugang zum Weißen Haus“ sowie „ungefilterte Echtzeit-Updates aus erster Hand“ mit Push-Benachrichtigungen zu Ankündigungen, Livestreams von Reden und der Möglichkeit, Feedback direkt an die Regierung zu senden.

Was die US-Regierung nicht erwähnt: Die App des Weißen Hauses verlangt auf Android-Geräten weitreichende Berechtigungen. Sie kann nach entsprechender Freigabe durch die Nutzer den genauen Standort erfassen, beim Gerätestart automatisch starten, Inhalte über andere Apps einblenden und das Gerät aktiv halten. Für sich genommen sind diese Funktionen nicht ungewöhnlich; bei Software, die vor allem Nachrichten und Livestreams bereitstellt und von einer staatlichen Stelle stammt, ist dieses Gesamtprofil jedoch erklärungsbedürftig.

Technische Analyse legt Tracking-Funktionen und externe Abhängigkeiten offen

Für Aufsehen sorgt zudem die Analyse eines Entwicklers, der den Code der Android-App untersucht hat. Dabei traten mehrere Auffälligkeiten zutage: Demnach blendet der integrierte Browser per JavaScript Cookie-Banner, Paywalls und Login-Hinweise aus. Zudem enthält der Code eine Vorkehrung für regelmäßige Standortabfragen, die – nach Rückfrage bei Nutzern zur App-Laufzeit – Daten an den Drittanbieter OneSignal übermitteln kann. Gleichzeitig nutzt das Programm umfangreiche Tracking- und Analysefunktionen über OneSignal, etwa zur Auswertung von Nutzerverhalten und Interaktionen.

Weitere Kritikpunkte betreffen die Einbindung externer Inhalte: Die App lädt JavaScript unter anderem von einer privaten GitHub-Seite, was bei einer Kompromittierung dieser Quelle das Ausführen fremden Codes ermöglichen könnte. Auch werden Nutzerdaten wie E-Mail-Adressen über externe Dienste verarbeitet, die nicht zur staatlichen Infrastruktur gehören.

Rechtswidrig sei dies nicht zwangsläufig, so der Autor der Analyse, entspreche jedoch nicht unbedingt den Erwartungen an eine offizielle Regierungsanwendung. Im Play Store gibt die App lediglich an, allgemeine personenbezogene Daten zu erfassen, diese aber nicht an Dritte weiterzugeben. Konkrete Angaben zu Standortdaten, Tracking oder eingesetzten externen Diensten fehlen.

Offene Fragen zum Datenschutz

Die iOS-Version der App fällt im Praxistest zurückhaltender aus: Sie fordert weder Zugriff auf den Standort noch auf Benachrichtigungen an. Zumindest nicht beim ersten Start: Erst im „Social“-Bereich erscheint eine Abfrage für Benachrichtigungen, die Nutzer aktiv bestätigen müssen.

Im App Store werden als erfasste Daten lediglich Kontaktinformationen wie E-Mail-Adresse und Telefonnummer zu Marketingzwecken angegeben, die nicht mit der Identität der Nutzer verknüpft sein sollen. Hinweise auf Standortdaten, Tracking oder externe Dienste finden sich dort nicht.

Insgesamt wirkt die iOS-Version deutlich weniger fordernd im Umgang mit Systemrechten. Einschränkend gilt allerdings, dass sich das tatsächliche Verhalten ohne Einsicht in den Code nicht abschließend bewerten lässt.

Beide Stores verweisen auf die offizielle Datenschutzerklärung des Weißen Hauses, die in der Sektion zur App lediglich eine Kontakt-E-Mail aufführt. heise online hat sowohl Google als auch Apple um Stellungnahme zu Prüfprozess und Richtlinienkonformität gebeten.

(tobe)