[KI-Thread (ausnahmsweise geduldet)] Intel Management Engine (ME) - Sicherheitsbedenkenbrainstorming

[mrx86]

BSDs verwenden kein Ring-Sicherheitskonzept der Intel CPUs.


Welches OS bringt denn Treiber mit, um mit der Intel ME zu kommunizieren?

Die OS kommunizieren allerdings per Syscall mit dem BIOS um z.B. ACPI-Infos usw. abzufragen. Meinst Du sowas? Das macht aber auch OpenBSD.


Die meisten User verwenden einen Router mit Firewall, bei dem die von extern eingehenden Ports gesperrt sind. Da braucht es keine zusaetzliche Frontlinie.

Die meisten von dir beschriebenen Punkte sind irrelevant unter Linux und BSDs. Die Intel ME kann vermutlich deine Tastatureingaben mitloggen, allerdings kann sie nicht auf eine verschluesselte Netzwerkverbindung zugreifen, da diese softwareseitig verschluesselt und entschluesselt wird und nicht im Netzwerkchipsatz (anderer Layer). Sie kann evtl. einen Dump des aktuellen RAM-Inhalts erstellen, aber Echtzeitauswertung und Echtzeituebertragung (RAM streaming) uebers Internet von z.B. 32 GB RAM wird sie wohl kaum machen koennen, vor allem da jedes OS den RAM anders verwaltet und RAM sehr schnell veraenderbar (und fluechtig) ist und man dafuer eine sehr sehr schnelle Internetverbindung brauechte. Kaum ein User haengt seinen Rechner mit einem DSL-Modem direkt ins Internet, sondern verwendet irgendeine Form von Router mit Firewall. Im schlecht gesicherten Firmennetzwerk ist ein Angriff auf die Intel ME theoretisch moeglich, allerdings funktionieren die oben beschriebenen Exploits dort auch nicht. Unterm Strich gibt es viel einfachere Angriffsszenarien mit Rechteausweitung durch Bugs in Software.

Danke für deine Aussagen.

• Netzwerk-Verschlüsselung: Korrekt. Die ME kann eine TLS/HTTPS-Verbindung, die im OS verschlüsselt wird, nicht aufbrechen. Aber: Die ME verfügt über einen eigenen, unabhängigen TCP/IP-Stack. Sie kann eigene, komplett verschlüsselte Verbindungen am OS vorbei ins Internet aufbauen.
• RAM-Streaming: Die ME muss nicht 32 GB RAM streamen. Sie hat direkten DMA-Zugriff (Direct Memory Access). Sie sucht gezielt nach Mustern im RAM (z. B. Krypto-Schlüssel, Passwörter im Klartext) und überträgt nur diese wenigen Kilobytes.
• OS-Unabhängigkeit: Da die ME unterhalb des OS läuft, ist es ihr völlig egal, wie Linux oder BSD den RAM verwalten. Sie sieht den rohen, physikalischen Speicher.
• Router/Firewall-Schutz: Ein externer Router blockiert eingehende Verbindungen. Die Intel ME agiert bei Infektion jedoch als ausgehende Verbindung (Reverse-Shell). Da Standard-Router ausgehenden Verkehr (Port 80/443) immer erlauben, tunnelt die ME die Daten problemlos nach draußen.
  
  

 

[Andy_m4]

Intel Management Engine (ME) ist in einer Sichtweise also alles in bester Ordnung und es gibt hier kein Handlungsbedarf ?

Nein. Es ist nicht alles in bester Ordnung. Hat er aber auch gar nicht gesagt.
Er weist aber zu Recht darauf hin, das das in der Praxis nicht das größte Problem ist und man einigermaßen damit umgehen kann.

 

[midnight]

• RAM-Streaming: Die ME muss nicht 32 GB RAM streamen. Sie hat direkten DMA-Zugriff (Direct Memory Access). Sie sucht gezielt nach Mustern im RAM (z. B. Krypto-Schlüssel, Passwörter im Klartext) und überträgt nur diese wenigen Kilobytes.
• OS-Unabhängigkeit: Da die ME unterhalb des OS läuft, ist es ihr völlig egal, wie Linux oder BSD den RAM verwalten. Sie sieht den rohen, physikalischen Speicher.

Ok, das ergibt jetzt Sinn und kann tatsaechlich ein Problem darstellen.

Router/Firewall-Schutz: Ein externer Router blockiert eingehende Verbindungen. Die Intel ME agiert bei Infektion jedoch als ausgehende Verbindung (Reverse-Shell). Da Standard-Router ausgehenden Verkehr (Port 80/443) immer erlauben, tunnelt die ME die Daten problemlos nach draußen.

Das war auch eher auf die Exploits bezogen, die von extern getriggert werden.

Die Intel ME versteht kein USB und kein WLAN – sie ist nach außen hin komplett blind.

Das bedeutet also, dass wenn ich WLAN verwende, bin ich direkt sicher? Wenn die Intel ME per DMA meinen RAM nach Mustern scannt, dann kann sie theoretisch auch den WLAN-Key verwenden, um ueber die WLAN-Karte eine Verbindung nach aussen aufzubauen.

Intel ME versteht kein USB

Da waere ich mir auch nicht zu 100% sicher. USB ist Bestandteil des Mainboards und auch WLAN oder LAN ueber USB wird ueber das Mainboard geleitet. Ob die Intel ME dann das USB-Device per Seitenkanal nutzen kann ist ungewiss, da es sich um einen standartisierten BUS handelt. Das Problem ist halt, dass ueber die Intel ME kaum etwas bekannt ist. Das System ist auf dem Mainboard verschluesselt abgelegt und wurde erst zu einem kleinen Teil per reverse engineering rekonstruiert.

Fakt ist allerdings, dass Exploits von Extern durch Router kaum moeglich sind. Ob die Intel ME von sich aus Daten zu irgendeinem Geheimdienst schickt, kann ich mir nicht vorstellen. Das wuerde sie sonst auf jedem Rechner machen und das waere sehr auffaellig. Wahrscheinlicher ist es, dass die Intel ME von aussen getriggert wird und erst dann sendet. Das kann man dann wieder durch externe Firewalls/Router verhindern. Es kann natuerlich sein, dass die Intel ME waehrend des normalen Datenverkehrs einen reverse Tunnel durch die Firewall aufbaut. Aber auch das waere schon aufgefallen, wenn das Standard waere.

 

[Andy_m4]

Die Intel ME agiert bei Infektion

Ja. Eine Infektion der Management-Engine wäre schon ziemlich doof.
Allerdings will man eine Infektion generell nicht haben. Geht ja keiner hin und sagt: "Och. Ist doch nur eine Infektion im Userspace. Halb so wild. Lass ich so laufen."
Du bist also sowieso immer angehalten Maßnahmen zu treffen, um eine Infektion zu verhindern.

Ob die Intel ME von sich aus Daten zu irgendeinem Geheimdienst schickt, kann ich mir nicht vorstellen. Das wuerde sie sonst auf jedem Rechner machen und das waere sehr auffaellig. Wahrscheinlicher ist es, dass die Intel ME von aussen getriggert wird und erst dann sendet. Das kann man dann wieder durch externe Firewalls/Router verhindern.

Das würde ich auch eher vermuten. Man muss sich ja auch immer vergegenwärtigen, was passiert, wenn man Lücken und Backdoors nutzt. Das Entdeckungsrisiko steigt und damit würde sie bekannt werden und wenn es dann öffentliche Aufmerksamkeit gibt, werden auch entsprechende Gegenmaßnahmen etabliert und man hätte man diese Backdoor damit verbrannt. Das wird man wenn, dann also nur für wirklich wichtige Dinge einsetzen und nicht, um zu schauen, was Lieschen Müller bei Zalando bestellt oder wer da AI-Slop in ein Computerforum kippt. :-)

Mal davon abgesehen, das das ja auch ein immensen Image-Schaden für Intel (oder welcher Hersteller auch immer betroffen ist) hat. Die Hersteller haben also vermutlich nicht unbedingt große Lust da mit zu machen und mit vollem Engagement dabei zu sein.

 

[peterle]

@midnight

Die Freaks empfahlen Rechner von vor IME also z.B. bis zum Thinkpad X220 und dann Libreboot draufpacken und am besten OpenBSD voll verschlüsseln bzw. Wegwerf-OS auf USB Stick oder besser noch direkt den ganzen Rechner wegwerfen.

 

[mr44er]

Wo liegt dein Problem ?

Manchmal kommts auch auf den Ton an, erst recht wenn man nicht oft hier online ist und beiträgt/hilft. Dann kommst du mal so larifari an und kackst einen KI-Thread hin. Ist das irgendwie nachvollziehbar auf empathischer Ebene? Wie fändest du es, wenn du mich zwar persönlich kennst, zuletzt vor drei Jahren gesehen hättest und ich dir dann "kollegial" in den Vorgarten scheiße, weil "wo ist dein Problem, das ist doch guter Dünger?"

Zweitens: https://www.bsdforen.de/threads/offensichtlich-mit-ki-erstellte-faktisch-falsche-beiträge-auf-bsdforen-de.37300/
Ich hab kein Problem, wenn du dein Model hier lesend trainierst, aber ich will mich nicht mit hybridem, halbherzigem Antwortscheiß rumärgern müssen. Das ist schon in Warteschleifen bei Telefon und Supportchats nervig und hat IMHO mit Forenkultur (für Menschen) nichts mehr zu tun.

 

[kith]

Bitte vergebt hier einen aussagekräftigeren Threadtitel.

 

[mr44er]

Done.

 

[midnight]

Merci und evtl. noch nach "Geplauder, Fun und Chillzone" oder irgendwo nach "Allgemeine Computerthemen" verschieben. :-)

 

[mrx86]

Die Person hat sich offensichtlich hineingesteigert. Wenn du jetzt verärgert zurückschiesst, eskaliert der Thread komplett.


Das ist nicht mein Ziel, ich suche ein guter

Done.

oder bester und sicherste Workaround im Thema egal mit welcher Technik und bin wieder wg evtl. für 3 Jahre oder keine Ahnung.

 

[midnight]

@midnight

Die Freaks empfahlen Rechner von vor IME also z.B. bis zum Thinkpad X220 und dann Libreboot draufpacken und am besten OpenBSD voll verschlüsseln bzw. Wegwerf-OS auf USB Stick oder besser noch direkt den ganzen Rechner wegwerfen.

Das habe ich tatsaechlich schon mit zwei Thinkpad X220 gemacht. Coreboot mit Hilfe eines Raspberry Pi geflasht. Bei einem X220 lief es zusammen mit OpenBSD, beim anderen nicht. Scheinbar waren dort unterschiedliche Chipsaetze verbaut. OpenBSD macht direkte syscalls ins BIOS und scheinbar funktioniert das zusammen mit Coreboot nicht ueberall.

 

[Yamagi]

Ich kann ganz generell empfehlen sich mal etwas mit dem Bereich Thread Modeling zu befassen. Also sich Gedanken zu machen, was mögliche Angriffsszenarien sind und welches Risiko sie hinsichtlich Eintrittswahrscheinlichkeit, sowie Schaden haben. Dann darauf aufbauend Abwehrmöglichkeiten überlegen. Das kann im Heimbereich auch komplett hypothetisch ohne praktische Umsetzung hinten raus sein. Es ist dennoch ein Augenöffner, dass man intiutiv "falsch" denkt und gleichzeit ein sehr gutes Training in den "richtigen" Denkweisen. Ein guter Einstiegspunkt, weil frei verfügbar, recht zugänglich und durch viel Sekundärliteratur untermauert ist Mitre ATT&CK: https://attack.mitre.org/

 

[mrx86]

Nach aktuellem Stand:


Alle erdenklichen Ansichten bis jetzt landet immer da:

Ausschalten: OnBoard Einheiten.
LAN und WLAN Lokal deaktivieren im BIOS.

USB Ethernet für WAN Zugang und USB Ethernet für LAN Zugang nehmen.

So machen wirs den scharzen Piraten zumindest eine unbekannte Freude und können uns aufs nächste
unfaire Story konzentrieren.

 

[midnight]

Ich kann das Buch "IT-Sicherheit" empfehlen. Dort haben 20 Autoren (Akademiker, Ingenieure, IT-Security-Spezialisten, usw.) mitgewirkt. Das Buch ist ziemlich umfassend und deckt das Thema IT-Sicherheit grossflaechig und mit Quellenangaben ab. Das ist natuerlich keine Schritt-fuer-Schritt-Anleitung, sondern eher ein Leitwerk.

 

[Andy_m4]

Das ist natuerlich keine Schritt-fuer-Schritt-Anleitung

... und dafür hat man ja auch security(7). Da steht alles drin, was man wissen muss. :-)

 

[Yamagi]

USB Ethernet für WAN Zugang und USB Ethernet für LAN Zugang nehmen.

Das ist viel zu klein gedacht. Damit schließt du vielleicht einen unwahrscheinlichen Weg. Du lässt aber die neun von ATT&CK gelisteten Szenarien zur Datenfiltration außer acht: https://attack.mitre.org/tactics/TA0010/

Lieber eine externe Firewall mit ausgehender Filterung. Dann schließt du fast sicher das Intel ME Szenario und zumindest einen Teil der ATT&CK Szenarien.

 

[mrx86]

Das ist viel zu klein gedacht. Damit schließt du vielleicht einen unwahrscheinlichen Weg. Du lässt aber die neun von ATT&CK gelisteten Szenarien zur Datenfiltration außer acht: https://attack.mitre.org/tactics/TA0010/

Lieber eine externe Firewall mit ausgehender Filterung. Dann schließt du fast sicher das Intel ME Szenario und zumindest einen Teil der ATT&CK Szenarien.

Danke für den Interessanten Hinweis.

Strategisch geht mir hier nur um das bekannte explizite Thema.

 

[mrx86]

Sie kann den Datenstrom, der über Ihre Realtek- oder USB-WLAN-Karte fliesst, im laufenden Betrieb nicht abfangen, mitlesen oder umleiten, da ihr die Treiber fehlen, um diese externen Netzwerkkarten als solche zu erkennen. Die Blockade durch das Abschalten des Onboard-Intel-Chips im BIOS bleibt daher absolut sicher. [1]

Nach aktuellem Stand:


Alle erdenklichen Ansichten bis jetzt landet immer da:

Ausschalten: OnBoard Einheiten.
LAN und WLAN Lokal deaktivieren im BIOS.

USB Ethernet für WAN Zugang und USB Ethernet für LAN Zugang nehmen.

So machen wirs den scharzen Piraten zumindest eine unbekannte Freude und können uns aufs nächste
unfaire Story konzentrieren.

 

[bluebyte]

Sie kann den Datenstrom, der über Ihre Realtek- oder USB-WLAN-Karte fliesst, im laufenden Betrieb nicht abfangen, mitlesen oder umleiten, da ihr die Treiber fehlen, um diese externen Netzwerkkarten als solche zu erkennen. Die Blockade durch das Abschalten des Onboard-Intel-Chips im BIOS bleibt daher absolut sicher. [1]

Wenn es danach geht! Dann einfach den Rechner abschalten, ein Blatt Papier in die Hand nehmen und ein Stift, oder von mir aus auch eine Feder und ein Tintenfass und man schreibt seinen Liebsten, statt eine Mail zu schreiben. Der Einzige Unsicherheitsfaktor wäre dann die Post!
Aber wenn man die alte deutsche Schrift(Sütterlin oder Kurrent) beherrscht, kann man das Minimum an abgefangenen und mitgelesenen Briefen auch noch minimieren. Auf etwa 0,00001-1 oder so. Ich kann zumindest beides. Schreiben und lesen. Ist nicht ver- und entschlüsselt, aber immerhin transkipieren müsst man es können.
Sorry, aber ich sag mal so, ich bin wahrscheinlich nicht paranoid genug, kann daher dein Post nicht ernst nehmen, vor allem wenn es hier Leute nicht ernst nehmen, die auch die auch zum großen Teil die Community geprägt haben. Ich selbst bin jetzt auch einige Jahre weg, vom Schuss gewesen.
Was ist das Problem. Vielleicht stehen wir Grad alle auf dem Schlauch und brauchen wahrscheinlich doch eine Transkription in einfacher Sprache, wie es die ARD mal eingeführt hat.

 

[mrx86]

Wenn es danach geht! Dann einfach den Rechner abschalten, ein Blatt Papier in die Hand nehmen und ein Stift, oder von mir aus auch eine Feder und ein Tintenfass und man schreibt seinen Liebsten, statt eine Mail zu schreiben. Der Einzige Unsicherheitsfaktor wäre dann die Post!
Aber wenn man die alte deutsche Schrift(Sütterlin oder Kurrent) beherrscht, kann man das Minimum an abgefangenen und mitgelesenen Briefen auch noch minimieren. Auf etwa 0,00001-1 oder so. Ich kann zumindest beides. Schreiben und lesen. Ist nicht ver- und entschlüsselt, aber immerhin transkipieren müsst man es können.
Sorry, aber ich sag mal so, ich bin wahrscheinlich nicht paranoid genug, kann daher dein Post nicht ernst nehmen, vor allem wenn es hier Leute nicht ernst nehmen, die auch die auch zum großen Teil die Community geprägt haben. Ich selbst bin jetzt auch einige Jahre weg, vom Schuss gewesen.
Was ist das Problem. Vielleicht stehen wir Grad alle auf dem Schlauch und brauchen wahrscheinlich doch eine Transkription in einfacher Sprache, wie es die ARD mal eingeführt hat.

Sehr gute Frage bluebyte, frag doch bitte Intel warum sie solche Backdors einbauen.

​

 

[peterle]

Sehr gute Frage bluebyte, frag doch bitte Intel warum sie solche Backdors einbauen.​

​

​

Weil es praktisch ist, wenn Du die Hardwaresteuerung unabhängig vom OS und Ort über ein Netzwerk erreichen und einstellen kannst.
Der Rest ist normal. Irgendeiner macht irgendwo einen Fehler und irgendein Anderer nutzt ihn aus.

 

[pit234a]

Weil es praktisch ist, wenn Du die Hardwaresteuerung unabhängig vom OS und Ort über ein Netzwerk erreichen und einstellen kannst.

machen das nicht deshalb afaik heute alle mehr oder weniger? Ich meine, nicht nur Intel, zumindest AMD auf meinem Board bietet etwas ähnliches an, was ich aber nicht brauche, da ich ja vor meinem PC sitze.
Damit die gleiche Frage: wie viele Sysadmins hocken denn heute noch tatsächlich vor direkt zugänglicher HW?
Viele Lösungen sind doch über Dienste im Web realisiert und es wird doch auch sehr viel lokal über VMs realisiert, oder nicht? Zumindest stelle ich mir das so vor. Das alleine ist natürlich kein Schutz, aber gerade dann muss man doch eh Schutzmechanismen schaffen und befolgen, die mehrere Schichten aufeinander legen und wo die unterste Schicht alleine, also das, was über die ME abgewickelt werden kann, gar nicht einfach schädlich für die Daten sein kann.
Natürlich habe ich keinerlei Expertise und nur unmaßgebliche Meinung, aber ich kann mich über diese Sicherheitslücke nicht im entferntesten erregen, wie ich dem Thema als purer Endanwender, mit Verantwortung nur für mich alleine, überhaupt recht gelassen gegenüber stehe.

Der Einzige Unsicherheitsfaktor wäre dann die Post!

Eben. Es gibt nie und niemals und mit Nichts eine totale Sicherheit im Leben. Gefahren lauern überall und alle Gefahren, die meinem PC oder meinen Daten drohen, rangieren doch auf dem untersten Schmerzniveau.

 

[midnight]

Weil es praktisch ist, wenn Du die Hardwaresteuerung unabhängig vom OS und Ort über ein Netzwerk erreichen und einstellen kannst.
Der Rest ist normal. Irgendeiner macht irgendwo einen Fehler und irgendein Anderer nutzt ihn aus.

Bei einem Serverpark ist das vermutlich schon sinnvoll, wenn die Admins auch die entsprechenden Tools dafuer haben. Auf Consumerhardware sehe ich da allerdings keinen Vorteil. Im Gegenteil, wenn sich diese Funktion nicht deaktivieren laesst. Normale Consumer / User wissen oftmals gar nicht, wie man ein BIOS updated oder was das ist und wissen dann auch nicht, dass hier evtl. Handlungsbedarf besteht und sie evtl. durch eine bekannte Sicherheitsluecke in der Intel ME von aussen angreifbar sind. Opt-In kann die Intel ME evtl. sinnvoll sein. Wenn sie sich alledings weder ein- noch ausschalten laesst, dann ist das nicht gewollt und dann fragt man sich schon, warum?

 

[CommanderZed]

Bei einem Serverpark ist das vermutlich schon sinnvoll, wenn die Admins auch die entsprechenden Tools dafuer haben. Auf Consumerhardware sehe ich da allerdings keinen Vorteil. Im Gegenteil, wenn sich diese Funktion nicht deaktivieren laesst. Normale Consumer / User wissen oftmals gar nicht, wie man ein BIOS updated oder was das ist und wissen dann auch nicht, dass hier evtl. Handlungsbedarf besteht und sie evtl. durch eine bekannte Sicherheitsluecke in der Intel ME von aussen angreifbar sind. Opt-In kann die Intel ME evtl. sinnvoll sein. Wenn sie sich alledings weder ein- noch ausschalten laesst, dann ist das nicht gewollt und dann fragt man sich schon, warum?

Für viele große Firmen, und gerade Intel / HP / Dell & Co haben die mehr im fokus als Privatkunden, kann das auch bei Clients schon sehr nützlich sein

AFAIK ist der default von Intel aber inzwischen das die funktion vorhanden ist aber abgeschaltet ist und man die explizit anschalten muss.

Und auch garnicht in jeder Hardware ist, einige Funktionen sind AFAIK zukaufoptionen bei den Hardwareherstellern.

Ich hab in den letzten 15 Jahren eigentlich nicht gehört das das ernsthaft für konkrete Angriffe genutzt wurde und wenn dann auch nicht in der Breite sondern für so CIA hackt sehr großen Drogenboss (gesponnen, aber auf dem level) sachen.

Da kommt man aber dann auch sehr schnell in Regionen wo man noch sehr sehr sehr sehr viel mehr zeugs sich sicherheitstechnisch anschauen sollte.

Da USB-LAN-Adapter fehlerbehafter sind als normale und dazu auch fast immer aus China kommen, wäre sogar meine sorge größer da da etwas irgendwo versteckt ist (Aber auch nicht wirklich hoch, aber höher als sorge vor ME - damit hätte man dann den Teufel mit dem Belzebub ausgetrieben wenn mans wie der OP vorschlägt macht. Halte ich für eine unglaublich bescheuerte Idee auf die nur eine KI kommen kann, insbesondere wenn man etwas Ahnung von der Technik hat.

/edit Wenn einen das - aus welchen gründen auch immer, ist ja etwas das jeder indivudell bewerten muss, wichtig ist, würde ich als allerstes mal schauen ob die Funktion überhaupt aktiv ist. Ich hab ja z.B. so ein Qotom mit Intel CPU und Intel NIC und da der aus China kommt hat der glaub ich ME nicht bekommen da das nur vertrauenswürdige USA-Hersteller bekommen (Gefährliches halbwisseln)

 

[midnight]

AFAIK ist der default von Intel aber inzwischen das die funktion vorhanden ist aber abgeschaltet ist und man die explizit anschalten muss.

Auf meinen Thinkpads habe ich keine Funktion gefunden, um die Intel ME zu deaktivieren. Allerdings habe ich auch keine brandaktuellen Thinkpads. Mein "neuestes" ist ein Thinkpad X1 Nano Gen1 und hat auch schon ein paar Jahre auf dem Buckel. Ich muss mal auf der Arbeit schauen, ob sich die Intel ME bei den Lenovo Thin Clients, Dell OptiPlex usw. abschalten lassen.

Ich hab in den letzten 15 Jahren eigentlich nicht gehört das das ernsthaft für konkrete Angriffe genutzt wurde und wenn dann auch nicht in der Breite sondern für so CIA hackt sehr großen Drogenboss (gesponnen, aber auf dem level) sachen.

Ich auch nicht, aber ich vermute auch, dass das nicht an die grosse Glocke gehaengt wird. Aus den Augen, aus dem Sinn sozusagen. Ich koennte mir aber vorstellen, dass sowas in Kriegs-/Kriesenzeiten durch den Gegner oder sogar durch die eigene Regierung eingesetzt werden koennte. Anlasslose Ueberwachung ist ja auch immer wieder so ein Thema, was in unserer Regierung gefordert wird.

Da USB-LAN-Adapter fehlerbehafter sind als normale und dazu auch fast immer aus China kommen, wäre sogar meine sorge größer da da etwas irgendwo versteckt ist (Aber auch nicht wirklich hoch, aber höher als sorge vor ME - damit hätte man dann den Teufel mit dem Belzebub ausgetrieben wenn mans wie der OP vorschlägt macht. Halte ich für eine unglaublich bescheuerte Idee auf die nur eine KI kommen kann, insbesondere wenn man etwas Ahnung von der Technik hat.

Ja da hast Du recht. Egal ob die Chipsaetze fuer LAN, WLAN, Bluetooth, usw. aus China oder den USA kommen. Die ganze Ueberwachungstechnik (Chinesische Firewall, Kameraueberwachung und Auswertung) die in China eingesetzt wird, kommt in grossen Teilen aus den USA (Oracle usw.). Bei Smartphones ist das auch nicht anders und die Leute regen sich dann ueber den Datenschutz auf, nehmen das Smartphone aber mit auf die Toilette. :-)