Achtung Phishing: Falsche Adresszeile im mobilen Safari [UI Spoofing]

Es ist wieder einmal Vorsicht geboten: Beim Internet-Surfen am iPhone kann man schnell einer neuen Technik auflaufen, durch die Benutzernamen, Passworter etc. ausgespäht werden können (sog. Phishing).
Der Trick ist recht simpel: Weil die Adresszeile im mobilen Safari ausgeblendet wird, sobald eine Seite vollständig geladen ist, kann man leicht durch ein in der Seite eingefügtes Bild einer Adresszeile getäuscht werden.
Gerät man über einen falschen Link zu einer Phishing-Seite (oft werden Bank-Seiten etc. vorgetäuscht), sieht man in der immitierten Adresszeile nicht die wahre URL, sondern die erwartete "richtige" Adresse, und gibt beim Login-Versuch seine sensiblen Benutzerdaten Hackern preis.

UI Spoofing: Links die Originalseite, rechts ein Nachbau mit gefälschter Adresszeile (als Bild)

httpvh://www.youtube.com/watch?v=MUg3c7yjHPs

Nitesh Dhanjani, der das UI Spoofing (UI für "User Interface") jetzt aufzeigt, machte Apple bereits auf die Technik aufmerksam. Dort wisse man aber noch nicht, wie dem Problem entgegnet werden könne:

I did contact Apple about this issue and they let me know they are aware of the implications but do not know when and how they will address the issue.

Beim Besuch von sensiblen Webseiten - besonders, wenn über einen fremden Link im Internet darauf zugegriffen wird, wird daher erst einmal geraten, vorsichtshalber ganz nach oben zu scrollen und die tatsächliche Adresse zu überprüfen.

1. Dezember 2010Bilder,Videos,iPhone SicherheitiPod Touch & Co,iPhone,iPad,UI Spoofing,Sicherheitslücke,Sicherheit

iRecoveryStick: Einfaches Auslesen aller Infos aus dem iPhone

Der iPhone-Ortungsdienst "Find My iPhone" ist seit wenigen Tagen kostenlos für iPhone/iPad/iPod Touch Besitzer der neuesten Generation. Was die meisten nicht wissen: Auch mit älteren Geräten kann man das System (noch) austricksen und seinen kostenlosen Find My iPhone Service erhalten.

Wem das nicht Grund genug für die Aktivierung des Apple-Dienstes ist, den überzeugt vielleicht dieses kleine Gadget:

iRecovery Stick

Der iRecovery Stick von SpyGadget bietet jetzt die Möglichkeit, aus einem beliebigen iPhone praktisch alle Informationen auszulesen - inkl. Kontakten, Textnachrichten, Bildern, Kalendereinträgen, Telefonie-History, Internet History, Map History usw.

Wird der 200 Dollar teure Stick an einen Windows-PC angesteckt und die Software gestartet, genügt ein einfaches Anstecken des iPhones an den PC. Alle Daten werden nach dem Transfer (ca. 20 Minuten pro GB Daten) in einer übersichtlichen Tabelle präsentiert.
Man sollte sein iPhone also nicht herumliegen lassen oder gar verlieren...

25. November 2010iPhone SicherheitiRecovery Stick,Sicherheit,iPhone Zubehör

Sicherheitslücke: iPhone-Apps über spezielle Hyperlinks steuern

IT-Sicherheitsexperte Nitesh Dhanjani macht in seinem Blog auf eine ernstzunehmende Sicherheitslücke in iOS aufmerksam: Über spezielle Links können iPhone-Apps direkt aus dem mobilen Safari-Browser angesprochen und gestartet werden.
Baut man z.B. folgendes iFrame in eine Website ein:

    <iframe src=”tel:1-408-555-5555”>

dann öffnet sich ein Dialog, in dem der Benutzer den Anruf der Telefonnummer bestätigen oder ablehnen kann.
iPhone Sicherheitslücke: Unsichere Verarbeitung von speziellen Hyperlinks

Bei Drittanbieter-Apps (z.B. Skype) erscheint aber nicht immer Sicherheits-Nachfrage:

    <iframe src=”skype://14085555555?call">

iPhone Sicherheitslücke: Unsichere Verarbeitung von speziellen Hyperlinks

Skype ist, so Dhanjani, nur ein Beispiel aus einer Vielzahl von Apps, die ohne User-Interaktion gestartet und angesprochen werden können. Mit Hilfe von registrierten Aktionen (z.B. ein Skype-Anruf) können Apps also bis zu einem gewissen Grad direkt angesprochen werden.
Nicht nur das iPhone, sondern auch das iPad und der iPod Touch sind von diesem Problem betroffen.

Third party developers, including developers who create custom applications for enterprise use, need to realize their URL handlers can be invoked by a user landing upon a malicious website and not assume that the user authorized it. Apple also needs to step up and allow the registration of URL Schemes that can instruct Safari to throw an authorization request prior to yanking the user away into the application.

Auf Anfrage von Dhanjani erklärte Apple anscheinend, dass die jeweiligen Entwickler für die Absicherung ihrer Apps verantwortlich seien.

via

11. November 2010iPad,iPhone,iPod Touch & Co.iOS,iPhone Apps,Sicherheit,Sicherheitslücke,Safari,Apps

iOS 4.2: Passcode-Sicherheitslücke geschlossen, Hilfe für Zeitumstellungs-Bug

Kurzmeldung: Seit der iOS 4.2 Golden Master Ausgabe ist - neben dem Zeitumstellungs-Bug - auch die Sicherheitslücke mit zum Umgehen der Passcode-Sperre geschlossen.
Die in iOS 4.1 entdeckte Sicherheitslücke, mit der man auch ohne Passcode auf die Telefon-App und Kontakte zugreifen konnte, wurde damit innerhalb nur einer Woche geschlossen.

Stichwort Zeitumstellungs-Bug: Bis zur Veröffentlichung von iOS 4.2 rät Apple in einem neuen Support-Dokument übrigens folgendes zur Verwendung der Wecker-App:

In some regions, shortly before or after the daylight saving time (DST) change, repeating alarms created in the Clock app may work incorrectly.

To resolve this behavior for existing alarms, set the repeat interval to Never. You will need to reset these alarms for each day you need them.

After November 7th, 2010, you can set your alarms to repeat again.

4. November 2010iPhone SicherheitPasscode,Bug,iOS 4.2,Sicherheit,Wecker,Sicherheitslücke,iOS 4.1

DevTeam: Sicherheitspatch für Firmware 3.1.3 und älter

PDF Patch vom DevTeam Apple veröffentlichte in der Nacht auf gestern iOS 4.0.2 mit dem dringend notwendigen Sicherheitsupdate für den integrierten PDF-Reader.
Geräte, die nicht iOS 4 tauglich sind (oder Benutzer, die bewusst bei älterer Firmware geblieben sind), sind jedoch vom Update ausgeschlossen.

Das iPhone DevTeam hat sich des Problems jetzt angenommen, und einen PDF-Patch für alle iOS-Versionen (inklusive 2.x) entwickelt. Der "PDF Warner" wird dadurch auch für iOS 4.0.1 Benutzer überflüssig und kann mit gutem Gewissen entfernt werden.

PDF Patch v. 1.0.3244-1 kann über den offiziellen Cydia Store geladen werden. Die alternative Repo http://repo.benm.at beinhaltet ein Paket, das gleichzeitig auch den PDF Exploit Warner deinstalliert.

Zum vollständigen Artikel: Dev-Team Blog - Fixing what Apple won't

Zum vollständigen Artikel: Jailbreak: Tweak behebt Sicherheitslücke

13. August 2010iPhone Sicherheit,iPhone,iPad,iPod Touch & Co.iPhone,iPod Touch & Co,iPad,Dev Team,Sicherheit,Jailbreak,iOS 4

iOS 4.0.2 veröffentlicht: Sicherheitsupdate für iPhone, iPod Touch und iPad

iOs 4.0.2 Sicherheitsupdate
Mit iOS 4.0.2 für iPhone & iPod Touch und iOS 3.2.2 für das iPad liefert Apple seit knapp einer Stunde ein Sicherheitsupdate aus, das die vor kurzem veröffentlichte Sicherheitslücke im PDF-Reader behebt. Bekannt wurde dieser Softwarefehler, mit dem Hacker volle Kontrolle über alle aktuellen iOS-Geräte erhalten könnten, durch den neuen Jailbreak bei JailbreakMe.com.

iOS 4.0.2
iOS 3.2.2

Achtung an die Jailbreaker & Unlocker: Mit dem Update gehen auch Jailbreak und Unlock verloren. Besser ist es daher, sich stattdessen besser mit dem PDF Warner abzusichern.

Besitzer eines iPHone 2G oder iPod Touch 1G erhalten das Update bislang nicht, weil es sich um einen Patch für iOS 4 handelt. Um sein Gerät gegen Angriffe zu sichern, rät man von prominenter Seite, sein Gerät zu jailbreaken und den PDF Warner zu installieren.

via mashable.com

Update: Eine spezielle Informationsseite des Apple Support gibt einige Informationen zur (behobenen) Sicherheitslücke: About the security content of the iOS 4.0.2 Update for iPhone and iPod touch

12. August 2010iPad,Unlock & Jailbreak,iPhone Sicherheit,iPhoneFirmware,iPhone,iOS,iPad,iOS 4,Dev Team,Sicherheit,Jailbreak,iPhone 4 Jailbreak

iOS PDF-Sicherheitslücke: Apple’s Patch ist fertig

Apple hat seinen PDF-Patch offensichtlich fertiggestellt, gibt aber noch keine Informationen zum Veröffentlichungsdatum:

Apple is hustling to issue a patch for a milestone security flaw that makes it possible to remotely hack —or jailbreak — iOS, the operating system for iPhones, iPads and iPod Touch.

The patch is completed, Apple spokeswoman Natalie Kerris said in an interview. But Kerris said on Friday that she was not able to give a time frame for its public release.

Dem weiteren Text zufolge muss Apple die Updates mit 15 Mobilfunkprovidern auf der ganzen Welt abstimmen, das Sicherheits-Update wird aber höchstwahrscheinlich manuell über iTunes zu installieren sein.

Zum vollständigen Artikel: Apple says it has patch for remote attack on iPhone, iPad

iPhone-Hacker MuscleNerd rät inzwischen allen Jailbreakern, ihre SHSH-Blobs zu sichern.

9. August 2010Neuigkeiten,iPhone,iPad,Unlock & Jailbreak,iPod Touch & Co.iPhone,iPod Touch & Co.,iPad,iOS 4,Apple,Sicherheit,iOS

iOS 4 Jailbreak: Deutsche Sicherheitswarnung, Apple bringt Update

Die iOS PDF-Sicherheitslücke Jailbreak aller iPhones und iPod Touches, sowie fast aller iPads, bringt nicht nur gutes mit sich: Wie bereits berichtet, bringt die Veröffentlichung dieser Sicherheitslücke auch die große Gefahr der Hackerangriffe auf das iOS mit sich.
Das Bundesamt für Sicherheit in der Informationstechnik (Deutschland) veröffentlichte daher eine ernstzunehmende Sicherheitswarnung für die iOS-Versionen 3.1.2 bis 4.0.1. Das iOS Betriebssystem habe "zwei kritische Schwachstellen, für die es noch keinen Patch gibt".

Kritische Schwachstellen in Apples Mobilgeräten: Installation von Schadprogrammen auf iPhone, iPad und iPod Touch möglich

Im Betriebssystem iOS (vormals iPhone OS), das in Apples iPhone, iPad und iPod Touch Verwendung findet, existieren zwei kritische Schwachstellen, die bereits beim Besuchen einer Webseite oder dem Öffnen eines PDF-Dokuments die vollständige Übernahme des Gerätes ermöglichen.

Betroffen sind die Apple iOS Versionen für das iPhone in Version 3.1.2 bis 4.0.1, für das iPad in der Version 3.2 bis 3.2.1 und für den iPod Touch in Version 3.1.2 bis 4.0. Es ist nicht auszuschließen, dass auch ältere Versionen des iOS bzw. iPhone OS von der Schwachstelle betroffen sind.

Derzeit ist kein Sicherheitsupdate vom Hersteller verfügbar. Bis zur Verfügbarkeit eines Updates empfiehlt das Bürger-CERT PDF-Dokumente nicht auf mobilen iOS-Geräten zu öffnen, weder von Webseiten noch aus E-Mails oder anderen Applikationen heraus. Ebenso sollte die Nutzung des mobilen Browsers auf dem Endgerät auf vertrauenswürdige Webseiten beschränkt werden. Hyperlinks in E-Mails oder auf Webseiten (auch aus Suchmaschinen) sollten nur geöffnet werden, wenn diese aus vertrauenswürdigen Quellen stammen.

Das BSI steht in Kontakt mit Apple. Dort arbeitet man an einer Lösung.

Zum vollständigen Artikel: Bürger-CERT - Ins Internet - mit Sicherheit!
 

Apple hat indes bekannt gegeben, dass das Problem bereits gelöst sei, und in einem kommenden iOS-Update behoben werde.

"We're aware of this reported issue, we have already developed a fix and it will be available to customers in an upcoming software update."

Zum vollständigen Artikel: Apple has a fix for PDF exploit

PDF-Warnung als Übergangslösung für die iOS-Sicherheitslücke Der JailbreakMe nutzt eine Sicherheitslücke im PDF-Reader des iOS. Inzwischen gibt es eine inoffizielle App, die vor dem Öffnen einer PDF-Datei eine Sicherheitswarnung anzeigt.

5. August 2010Unlock & Jailbreak,iPhone Sicherheit,iPhone,iPad,iPod Touch & Co.iPhone,iPod Touch & Co.,Jailbreak,iOS 4,Sicherheit,iOS,iPad

Sicherer als je zuvor: iOS 4 schließt 65 Sicherheitslücken

iPhone Sicherheitslücken geschlossen Apple hat ein neues Support-Dokument veröffentlicht, in dem die Sicherheit in iOS 4 zur Sprache gebracht wird - genauer gesagt werden 65 Sicherheitslücken, die aus dem iPhone OS 3 bekannt waren und in iOS 4 geschlossen wurden, aufgelistet. Auch Safari selbst und die ImageIO Framework wurden sicherer gemacht.

Die meisten dieser Lücken haben mit dem WebKit zu tun, also mit der Engine, die hinter den mobilen Safari-Versionen aller iGeräte steht.

Zum vollständigen Artikel: About the security content of iOS 4

via macrumors.com

23. Juni 2010Neuigkeiten,iPhone SicherheitiPhone,Sicherheit,Firmware,iOS 4,iPhone OS

Ubuntu hebt iPhone 3GS Datenverschlüsselung auf

Zugriff auf sensible Daten mit Ubuntu Das iPhone 3GS ist nicht so sicher, wie bisher angenommen: Folgt man einer bestimmten Vorgehensweise, lassen sich mehrere sensible Ordner des iPhones trotz Datenverschlüsselung auslesen.
Das Auto-Mount-Feature der Linux-Distribution Ubuntu umgeht die 256-Bit AES-Verschlüsselung des iPhone 3GS anscheinend, wenn das iPhone in ausgeschaltetem Zustand per USB angeschlossen, und erst dann eingeschalten wird.
Mehrere Ordner, darunter die gespeicherten Fotos, MP3s und Audioaufnahmen, werden daraufhin für den Benutzer lesbar.

Bernd Marienfeldt, Sicherheitsexperte des britischen Internet-Knotens LINX hat Apple bereits über dieses Problem informiert, dort wird das Problem derzeit untersucht.

Zum vollständigen Artikel: Lücke in Datenverschlüsselung des iPhones

27. Mai 2010iPhone Sicherheit,iPhoneiPhone 3GS,Dateitransfer,Verschlüsselung,iPhone,Sicherheit

Macworld 2010: Interessantes iPhone-Zubehör

Bei der diesjährigen Macworld Expo wurden wieder einige technologische Leckerbissen präsentiert. In diesem Artikel haben wir einige der interessantesten Neuerungen fürs iPhone gesammelt.

Das iV Battery Case bietet zum Beispiel ein iPhone-Case mit integriertem Zusatzakku (3100 mAh), LED-Blitz, ein USB-Port und ein Infrarot-Modul, das das iPhone zusäztlich zur Universalfernbedienung umfunktioniert. Das iV gibt es ab 80 $.

Gerade im Winter ist es oftmals lästig, dass der Touchscreen mit Handschuhen nicht funktioniert. Neben selbstgebauten und erwerblichen Touchscreen-fähigen Handschuhen (und dem Umweg über andere Hilfsmittel) wurden zwei weitere qualitativ hochwertige Handschuhe vorgestellt: Telefingers, und die Designerhandschuhe iTouch Gloves. Kostenpunkt: 15 $ (Telefingers) bzw. ab 99,95 $ (iTouch Glove)

Die Sichtschutzfolie ScreenGuardz schützt das iPhone vor ungewollten Blicken, in dem er das Display nur bei direkter Frontalbetrachtung durchscheinen lässt. Will ein z.B. Sitznachbar im Bus mitlesen, sieht er nur einen schwarzen Screen. Preis: 20 $.

Auch Square, das schon vor einiger Zeit vorgestellte und angekündigte iPhone-Kreditkarten-Bezahlsystem, konnte bei der Macworld seine Fortschritte präsentieren. Den kleinen quadratischen Aufstecker für den Headphone-Stecker am iPhone soll es ab April geben.

Wem das integrierte Mikrofon am iPhone nicht reicht, der/die findet mit dem Blue Mikey vielleicht endlich, wonach er/sie gesucht hat: Das Aufsteck-Mikrofon für iPod und iPhone läuft mit der nativen Sprachnotiz-Anwendung des iPhones/iPods, lässt sich abwinkeln und verspricht Aufnahmen in CD-Qualität. Blue Mikey soll 80 $ kosten.

Von Tunebug gibt es jetzt, als Variation der bekannten SurfaceSound-Technologie, die beliebige Flächen in Lautsprecher umwandelt, ein neues System für Fahrrad- und Snowboard-/Skateboard-Helme: Shake wird am Helm angebracht und via Bluetooth mit dem iPhone verbunden. Die Vibrationen aus dem kleinen Gerät werden dann auf den Helm übertragen, der als Lautsprecher fungiert. Kostenpunkt: 120 $.

via macrumors.com und iphone-ticker.de

16. Februar 2010iPhone Zubehör,iPhone SicherheitiPhone,Fernbedienung,Musik,Datenschutz,Sicherheit,Bezahlsysteme