iOS-Sicherheitslücke: Kontakte “remote” aus dem iPhone 4 löschen
Beim Hackerwettbewerb pwn2own geht es darum, Sicherheitslücken in Betriebssystemen und Internet-Browsern auszunützen und sich Zugriff auf das gehackte Gerät zu verschaffen.
Vor einigen Tagen fand der aktuellste pwn2own Contest statt, und Sicherheitsexperte Charlie Miller verdiente sich durch seine neu entdeckte Safari-Sicherheitslücke ein Preisgeld von bis zu 15.000 $: Mit einem Cyber-Angriff gelang es ihm in nur wenigen Sekunden, über den mobilen Safari am iPhone das gesamte iPhone-Adressbuch automatisch zu löschen.
The attack simply required that the target iPhone surfs to a rigged web site. On first attempt at the drive-by exploit, the iPhone browser crashed but once it was relaunched, Miller was able to hijack the entire address book.
Der Angriff funktioniert in allen iOS-Versionen bis inkl. 4.2.1, in iOS 4.3 ist die Lücke zwar noch vorhanden, aber durch das sogenannte ASLR (Address Space Layout Randomization; eine zusätzliche Hacker-Blockade) unschädlich gemacht.
Um Opfer so eines Angriffs zu werden, muss der Benutzer übrigens zuerst auf eine dementsprechend manipulierte Website aufrufen. Wer vorsichtig surft, sollte also auch mit seinem Gerät bis iOS 4.2.1 im sicheren Bereich sein.
iPhone zu verlieren kann gefährlich sein
Viele speichern wichtige Passwörter auf ihrem iPhone – verständlich, da man es immer dabei hat, falls einem eines der Passwörter vorübergehend entfällt. Dass dies an und für sich nicht unbedingt gut ist, ist eigentlich allen klar – aber man macht sich nur wenige Gedanken, schließlich hat man sein iPhone ja sowieso immer bei sich.
Dieses Video zeigt allerdings wie schnell man vollen Zugriff auf diese Daten haben kann.
Die Daten sind also vor jemandem, der sich ein wenig mit Software auskennt, überhaupt nicht sicher.
Moral des Tages: Passwörter entfernen oder sein iPhone zumindest unter keinen Umständen aus den Augen lassen!
Mobile Device Management: API zur Jailbreak-Erkennung in iOS 4.2 wieder entfernt
Im Juni brachte Apple mit dem iOS 4 Update auch eine API auf alle iPhones, iPads und iPod Touches, die das System regelmäßig auf “größere Veränderungen” überprüfte. Damit hatten die Entwickler von Sicherheits-Apps im Rahmen der Mobile Device Management APIs die Möglichkeit, einen eventuellen Jailbreak oder Unlock auf einem iPhone – und dadurch auch mögliche Schwachstellen – zu erkennen.
Nach nur einem halben Jahr hat Apple diese API mit iOS 4.2.1 kommentarlos wieder entfernt.
Auch wenn nicht bekannt ist, ob Apple selbst diese API in irgendeiner Form nutzte, dürften viele Jailbreaker leicht aufatmen.
Details bei NetworkWorld.
Achtung Phishing: Falsche Adresszeile im mobilen Safari [UI Spoofing]
Es ist wieder einmal Vorsicht geboten: Beim Internet-Surfen am iPhone kann man schnell einer neuen Technik auflaufen, durch die Benutzernamen, Passworter etc. ausgespäht werden können (sog. Phishing).
Der Trick ist recht simpel: Weil die Adresszeile im mobilen Safari ausgeblendet wird, sobald eine Seite vollständig geladen ist, kann man leicht durch ein in der Seite eingefügtes Bild einer Adresszeile getäuscht werden.
Gerät man über einen falschen Link zu einer Phishing-Seite (oft werden Bank-Seiten etc. vorgetäuscht), sieht man in der immitierten Adresszeile nicht die wahre URL, sondern die erwartete “richtige” Adresse, und gibt beim Login-Versuch seine sensiblen Benutzerdaten Hackern preis.
Nitesh Dhanjani, der das UI Spoofing (UI für “User Interface”) jetzt aufzeigt, machte Apple bereits auf die Technik aufmerksam. Dort wisse man aber noch nicht, wie dem Problem entgegnet werden könne:
I did contact Apple about this issue and they let me know they are aware of the implications but do not know when and how they will address the issue.
Beim Besuch von sensiblen Webseiten – besonders, wenn über einen fremden Link im Internet darauf zugegriffen wird, wird daher erst einmal geraten, vorsichtshalber ganz nach oben zu scrollen und die tatsächliche Adresse zu überprüfen.
iRecoveryStick: Einfaches Auslesen aller Infos aus dem iPhone
Der iPhone-Ortungsdienst “Find My iPhone” ist seit wenigen Tagen kostenlos für iPhone/iPad/iPod Touch Besitzer der neuesten Generation. Was die meisten nicht wissen: Auch mit älteren Geräten kann man das System (noch) austricksen und seinen kostenlosen Find My iPhone Service erhalten.
Wem das nicht Grund genug für die Aktivierung des Apple-Dienstes ist, den überzeugt vielleicht dieses kleine Gadget:
Der iRecovery Stick von SpyGadget bietet jetzt die Möglichkeit, aus einem beliebigen iPhone praktisch alle Informationen auszulesen – inkl. Kontakten, Textnachrichten, Bildern, Kalendereinträgen, Telefonie-History, Internet History, Map History usw.
Wird der 200 Dollar teure Stick an einen Windows-PC angesteckt und die Software gestartet, genügt ein einfaches Anstecken des iPhones an den PC. Alle Daten werden nach dem Transfer (ca. 20 Minuten pro GB Daten) in einer übersichtlichen Tabelle präsentiert.
Man sollte sein iPhone also nicht herumliegen lassen oder gar verlieren…
