iPhone News » iPhone Sicherheit

iPhone 5 mit neuem, lückenlosem Sicherheitssystem, WWDC 2012 Termin herausgegeben?

Markus — Fri, 20 Apr 2012 06:30:24 +0000

Die jährlich im Juni stattfindende Wordwide Developers Conference (WWDC) von Apple findet traditionell im Juni statt. Bis zur Veröffentlichung der Einladungen bzw. zum Start des Ticketverkaufs ist das genaue Datum aber immer Gegenstand von Gerüchten.
Ein indischer Jugendlicher namens Rahul Agarwal, der ein “lückenloses” Sicherheitssystem für iOS-Geräte entwickelte und dadurch auch Apple-Techniker verblüffte, könnte den Starttermin der WWDC 2012 bereits jetzt (mehr oder weniger absichtlich) preisgegeben haben.

Wie die Hindustan Times berichten, erhielt der junge Sicherheitsexperte von Apple 2.200 $, ein neues iPad und eine Einladung “zur diesjährigen WWDC am 11. Juni 2012″:

The newspaper states that “Apple has invited the kid to the WWDC conference to be held on 11th June 2012″Now, This may well be based on rumors, but there is a very good chance that the boy let it slip while being interviewed by the newspaper. Obviously, he should be knowing the date of the event if he were invited.

Agarwal könnte das genaue Datum im Interview mit der Zeitung einfach nur herausgerutscht sein. Falls er wirklich offiziell eingeladen wurde, dürfte er den Termin bereits kennen.

Ebenfalls interessant ist, dass Apple anscheinend sehr an diesem Sicherheitssystem interessiert ist. Eine Implementierung in der nächsten iPhone-Generation (iPhone 5?) wäre durchaus möglich, in diesem Fall läge natürlich auch eine Präsentation der nächsten iOS-Generation (inkl. Sicherheitssystem?) im Rahmen der WWDC naheliegend.

via

Adressbar Spoofing bei mobil Safari unter iOS 5.1

Borko — Fri, 23 Mar 2012 10:14:48 +0000

Major Security warnt vor einer Sicherheitslücke im mobil Safari unter iOS 5.1. Demnach kann ein Fehler im Javascript-Handling dazu genutzt werden, dem Nutzer eine falsche Adresse in der Adressbar vorzugaukeln. Wer dann nicht richtig aufpasst, fällt schnell auf Betrüger rein.

Adressbar spoofing bei Safari iOS

David Vieira-Kurz von Major Security hat diesen Fehler dokumentiert und eine Beispielseite eingerichtet, die die Sicherheitslücke aufzeigt.

“Das Opfer denkt im konkreten Beispiel nun es würde auf der Webseite http://www.apple.com befinden, weil dies in der Adresszeile anzeigt wird – stattdessen befindet das Opfer jedoch auf einer durch den Angreifer kontrollierten Webseite, welche lediglich http://www.apple.com innerhalb eines Iframes anzeigt.”

Es wird empfohlen, Safari unter iOS nicht zu nutzen, bis Apple ein Update zu Verfügung stellt.

Infografik: Malware und Angriffe auf Mobilgeräte (inkl. iPhone, iPad)

Markus — Wed, 17 Aug 2011 09:00:44 +0000

iPhone & Co. werden heutzutage für fast alles verwendet. Auch sensible Daten wie zB. Bank-Zugangsdaten etc. werden am Mobilgerät häufig aus Bequemlichkeit gespeichert. Wie sieht es aber mit der Sicherheit dieser Daten aus?
Mit der zunehmenden Bedeutung mobiler Systeme, vom Smartphone bis hin zum Tablet, stieg im letzten Jahr auch die Häufigkeit von Angriffen über Malware & Co (also schadhafte oder mit Viren & Trojanern infizierte Software).
Der Zweck der meisten Malware-Programme und Apps ist das heimtückische Ausspionieren von Passwörtern oder Bank-Zugangsdaten. Infizierte Geräte können aber auch dazu missbraucht werden, Nachrichten ohne Zutun des Benutzers an Mehrwertnummern zu schicken, oder für verteilte Angriffe an digitale Ziele (Server etc.) verwendet werden.

Eine Übersicht über den aktuellen Stand von mobiler Malware – von den Zielen der Malware-Programmierer bis hin zu den häufigsten Arten, wie Malware auf ein Gerät kommt, gibt es jetzt von Software-Firma Bullgard. Wie gezeigt wird, sind auch iPhone & iPad nicht zu 100 % sicher vor solchen Angriffen.

Die vollständige Infografik gibt’s im Anschluss:

via

iOS 4.3.5: Weiteres Sicherheitsupdate für iPhone, iPad und iPod Touch

Markus — Tue, 26 Jul 2011 17:00:40 +0000

Nur wenige Tage, nachdem Apple mit iOS 4.3.4 eine PDF-Sicherheitslücke schloss, liefert der Tech-Riese jetzt ein weiteres Sicherheitsupdate nach: iOS 4.3.5 behebt eine Sicherheitslücke aus dem Bereich “Certificate validation”, durch das übertragene Daten aus mit SSL/TLS verschlüsselten Verbindungen gefährdet waren.

Jailbreaker sollten von dem Update für iPhone 4, iPhone 3GS, iPad und iPad 2, sowie iPod Touch 3G und 4G wie immer Abstand nehmen!

Details zum Software-Update im Anschluss:

iOS 4.3.5 Software Update
Data Security
Available for: iOS 3.0 through 4.3.4 for iPhone 3GS and iPhone 4 (GSM), iOS 3.1 through 4.3.4 for iPod touch (3rd generation) and later, iOS 3.2 through 4.3.4 for iPad
Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS
Description: A certificate chain validation issue existed in the handling of X.509 certificates. An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS. Other attacks involving X.509 certificate validation may also be possible. This issue is addressed through improved validation of X.509 certificate chains.
CVE-ID
CVE-2011-0228 : Gregor Kopf of Recurity Labs on behalf of BSI, and Paul Kehrer of Trustwave’s SpiderLabs

via

Datenschutzproblem beim iPhone

Tobias — Sat, 16 Jul 2011 12:00:57 +0000

Datenschützer des bayerischen Landesamtes für Datenschutz sehen eine der größten Schwächen des Apple iPhone im Bereich der Ortsspeicherungen, die viele der angeboten Applikationen teilweise unaufgefordert durchführen können. Bei manchen Apps sind die Ortsspeicherungen in Zusatzoptionen einstellbar, bei anderen jedoch gelten genaue GPS-Angaben als Verpflichtung, um die Funktionen der App nutzen zu können.

Apple hat mittlerweile auf verschiedene Klagen reagiert und muss höchstwahrscheinlich nicht mit Sanktionen rechnen, da bereits vieler dieser Dienste eingeschränkt oder ganz gelöscht wurden. Auch werden ab sofort die Standortinformationen der User automatisch nach sieben Tagen gelöscht. Einem weiteren Versprechen Apples nach sollen bei der nächsten Version des Betriebssystems iOS die Informationen bezüglich des Standorts des iPhone-Nutzers in Zwischenspeichern verschlüsselt werden und somit für Dritte nicht länger von Nutzen sein können.

Mittlerweile wurde offiziell verlautet, dass die entsprechenden Probleme fast gänzlich behoben seien und spätestens nach Erscheinen der neuen iOS-Version keine datenschutzrechtlichen Schwierigkeiten mehr bestehen werden. Das Hauptproblem der Speicherung bestand neben dem eigentlichen Tatbestand darin, dass bei jeder Nutzung des iTunes-Programms das iPhone mit dem PC synchronisiert wurde und somit ein Backup aller gespeicherten Daten des iPhones auf den Computer übertragen wurden. Zu diesen Informationen gehörten somit auch die entsprechenden Standortbestimmungen der letzten Tage, Wochen und sogar Monate des Kunden, die bei genauerer Analyse und unter Verwendung einiger simpler Entschlüsselungsprogramme Aufschluss über so gut wie alle privaten Aktivitäten geben konnten.

Weitere iPhone Probleme und Antworten können von Nutzern im Internet nachgelesen werden, um herauszufinden, ob noch weitere Dienste deaktiviert werden sollten, um den Datenschutz individuell zu gewährleisten.

FaceTime Bug zeigt Bilder von früheren Gesprächen, erregt Datenschutz-Bedenken

Markus — Thu, 07 Apr 2011 10:00:38 +0000

In den Apple Diskussionsforen tauchen seit kurzem Meldungen zu einem eigenartigen Software-Fehler in FaceTime auf: FaceTime-Benutzer berichten davon, dass beim Verbindungsaufbau anstatt des Live-Bildes des gewünschten Gegenübers ein scheinbar zufällig ausgewähltes Bild aus einem früheren FaceTime-Gespräch angezeigt wird, während der/die zweite nur einen dunklen Bildschirm angezeigt bekommt.
Bei diesem unfreiwilligen Rückblick handelt es sich allerdings nicht um vom Benutzer gespeicherte Bilder, sondern Einzel-Frames aus herkömmlichen FaceTime-Verbindungen.

My boyfriend and I have both recently experienced this problem several times – when one of us is calling the other via FaceTime, an old picture freezes on our screen, while the person receiving the call only sees a black screen. It’s kind of creepy, because it brought up photos of both of us at work, where I have used FaceTime a few times but he never has.

Just minutes ago when i called my girlfriend and i saw a “picture” of myself from today when i was at the office. I know it was from today because i had the exact same shirt. The weirdest thing is that picture is not stored on my iPhone.

Auch ein Rücksetzen des iPhone oder die Neuinstallation der FaceTime App scheint nicht zu helfen. Ein solcher Bug, und die damit zusammenhängende Tatsache, dass das iPhone ohne Benutzer-Wissen selbständig Fotos speichert, sorgt natürlich für Datenschutz-Bedenken.
Ein ähnliches Problem gab es beim iPhone classic: Das iPhone erstellte beim Verlassen einer App via Homebutton einen Screenshot der aktuellen Anzeige, um beim nächsten Start die App scheinbar schneller du laden. Datenschützer bemängelten allerdings, dass damit z.B. auch Screenshots von Banking-Apps mit sensiblen Daten vereinfacht ausgelesen werden konnten.

via 1, 2

iOS-Sicherheitslücke: Kontakte “remote” aus dem iPhone 4 löschen

Markus — Mon, 14 Mar 2011 16:00:57 +0000

Beim Hackerwettbewerb pwn2own geht es darum, Sicherheitslücken in Betriebssystemen und Internet-Browsern auszunützen und sich Zugriff auf das gehackte Gerät zu verschaffen.
Vor einigen Tagen fand der aktuellste pwn2own Contest statt, und Sicherheitsexperte Charlie Miller verdiente sich durch seine neu entdeckte Safari-Sicherheitslücke ein Preisgeld von bis zu 15.000 $: Mit einem Cyber-Angriff gelang es ihm in nur wenigen Sekunden, über den mobilen Safari am iPhone das gesamte iPhone-Adressbuch automatisch zu löschen.

The attack simply required that the target iPhone surfs to a rigged web site. On first attempt at the drive-by exploit, the iPhone browser crashed but once it was relaunched, Miller was able to hijack the entire address book.

Der Angriff funktioniert in allen iOS-Versionen bis inkl. 4.2.1, in iOS 4.3 ist die Lücke zwar noch vorhanden, aber durch das sogenannte ASLR (Address Space Layout Randomization; eine zusätzliche Hacker-Blockade) unschädlich gemacht.
Um Opfer so eines Angriffs zu werden, muss der Benutzer übrigens zuerst auf eine dementsprechend manipulierte Website aufrufen. Wer vorsichtig surft, sollte also auch mit seinem Gerät bis iOS 4.2.1 im sicheren Bereich sein.

via

iPhone zu verlieren kann gefährlich sein

Mathias — Tue, 15 Feb 2011 07:52:36 +0000

http://www.youtube.com/watch?v=uVGiNAs-QbY

Viele speichern wichtige Passwörter auf ihrem iPhone – verständlich, da man es immer dabei hat, falls einem eines der Passwörter vorübergehend entfällt. Dass dies an und für sich nicht unbedingt gut ist, ist eigentlich allen klar – aber man macht sich nur wenige Gedanken, schließlich hat man sein iPhone ja sowieso immer bei sich.
Dieses Video zeigt allerdings wie schnell man vollen Zugriff auf diese Daten haben kann.
Die Daten sind also vor jemandem, der sich ein wenig mit Software auskennt, überhaupt nicht sicher.
Moral des Tages: Passwörter entfernen oder sein iPhone zumindest unter keinen Umständen aus den Augen lassen!

via

Mobile Device Management: API zur Jailbreak-Erkennung in iOS 4.2 wieder entfernt

Markus — Sun, 12 Dec 2010 07:00:32 +0000

Im Juni brachte Apple mit dem iOS 4 Update auch eine API auf alle iPhones, iPads und iPod Touches, die das System regelmäßig auf “größere Veränderungen” überprüfte. Damit hatten die Entwickler von Sicherheits-Apps im Rahmen der Mobile Device Management APIs die Möglichkeit, einen eventuellen Jailbreak oder Unlock auf einem iPhone – und dadurch auch mögliche Schwachstellen – zu erkennen.
Nach nur einem halben Jahr hat Apple diese API mit iOS 4.2.1 kommentarlos wieder entfernt.

Auch wenn nicht bekannt ist, ob Apple selbst diese API in irgendeiner Form nutzte, dürften viele Jailbreaker leicht aufatmen.

Details bei NetworkWorld.

Achtung Phishing: Falsche Adresszeile im mobilen Safari [UI Spoofing]

Markus — Wed, 01 Dec 2010 17:30:25 +0000

Es ist wieder einmal Vorsicht geboten: Beim Internet-Surfen am iPhone kann man schnell einer neuen Technik auflaufen, durch die Benutzernamen, Passworter etc. ausgespäht werden können (sog. Phishing).
Der Trick ist recht simpel: Weil die Adresszeile im mobilen Safari ausgeblendet wird, sobald eine Seite vollständig geladen ist, kann man leicht durch ein in der Seite eingefügtes Bild einer Adresszeile getäuscht werden.
Gerät man über einen falschen Link zu einer Phishing-Seite (oft werden Bank-Seiten etc. vorgetäuscht), sieht man in der immitierten Adresszeile nicht die wahre URL, sondern die erwartete “richtige” Adresse, und gibt beim Login-Versuch seine sensiblen Benutzerdaten Hackern preis.

http://www.youtube.com/watch?v=MUg3c7yjHPs

Nitesh Dhanjani, der das UI Spoofing (UI für “User Interface”) jetzt aufzeigt, machte Apple bereits auf die Technik aufmerksam. Dort wisse man aber noch nicht, wie dem Problem entgegnet werden könne:

I did contact Apple about this issue and they let me know they are aware of the implications but do not know when and how they will address the issue.

Beim Besuch von sensiblen Webseiten – besonders, wenn über einen fremden Link im Internet darauf zugegriffen wird, wird daher erst einmal geraten, vorsichtshalber ganz nach oben zu scrollen und die tatsächliche Adresse zu überprüfen.