Apple schließt Sicherheitslücke im Account-System
Am gestrigen Abend hat eine Meldung die Runde gemacht, wonach sich in Apples Kontosystem eine schwere Sicherheitslücke eingeschlichen hat. Mit dieser war es jedem möglich, sich mittels eMail-Adresse und Geburtsdatum das Passwort des jeweiligen Users zu erschleichen, bzw. es zu ersetzen. Die Apple ID konnte somit sehr leicht gekapert werden, was natürlich alles andere als sicher ist.
OS X Update: Sicherheitsmechanismus aktualisiert & Yontoo Adware blockiert
Gerade erst vor wenigen Tagen wurde eine neue Schadsoftware gesichtet, die es vor allem auf den Browser des Mac abgesehen hat. Die Malware, welche sich unter dem Namen „Yontoo“ tarnt, kommt als angebliches Video-Plugin daher, oder sogar als Downloadbeschleuniger. Ist sie einmal installiert worden, erhält man auf allen besuchten Webseiten Werbung angezeigt.
iPhone und iPad News: Die 4 wichtigsten Neuigkeiten der Woche
iPhone 5: In-Cell-Touchscreen, LTE, NFC, Nano-SIM, Verkaufsstart und weitere Prognosen
- iPhone 5: Wall Street Journal glaubt an In-Cell-Touchscreen
- iPhone 5: Analyst hält 80 Millionen für realistisch
- Apple iPhone 5: 1 GB RAM, 4G LTE, NFC und Herbst-Release
- iPhone 5: Foxconn startet Einstellungsmarathon
- iPhone 5 erhält Nano-SIM
- iPhone 5 kommt in Q4 laut Verizon Finanzchef
iPhone und iPad Sicherheit
Flashback: Apple weicht Virus-Aussagen auf
Nachdem erst vor kurzem ca. 600.000 Macs mit dem Flashback-Trojaner infiziert wurden, und Apple einen Patch für die Java-Sicherheitslücke Schadensbegrenzung üben msuste, meinte der CEO der Antiviren-Spezialisten von Kasperky, dass "Apple jetzt in die selbe Welt eintauche, in der Windows seit mehr als 10 Jahren lebe". Trotz Sicherheits-Patch blieben laut Sicherheitsexperten noch "mehrere Hunderttausend Macs" mit dem Trojaner infiziert.
Wie PCWorld bemerkte, ändert Apple jetzt leicht den Ton, wenn es um die Sicherheit vor Viren geht:
Aus "It doesn't get PC viruses" ("[Der Mac] fängt sich keine Viren ein") wurde "It's built to be safe" ("Entwickelt, um sicher zu sein").
Kaspersky:
Cyber criminals have now recognised that Mac is an interesting area. Now we have more, it’s not just Flashback or Flashfake. Welcome to Microsoft’s world, Mac. It’s full of malware….Apple is now entering the same world as Microsoft has been in for more than 10 years: updates, security patches and so on,” he added. “We now expect to see more and more because cyber criminals learn from success and this was the first successful one…. They will understand very soon that they have the same problems Microsoft had ten or 12 years ago”
Was ist neu in iOS 5.1.1?
Apple hat in den vergangenen Tagen iOS 5.1.1 auf unzählige iPhones, iPads und iPod Touches gebracht, und damit vor allem für Bugfixes gesorgt. Aber was genau versteckt sich in der kleinen Revision von iOS 5.1?
iPhone und iPad News: Die 7 wichtigsten Neuigkeiten der Woche
![Was wir bis jetzt über das iPhone 6 wissen [Mockup von CiccareseDesign]](https://cdn.iphone-news.org/wp-content/uploads/2012/03/iPhone-5-CiccareseDesign-01.jpg "Was wir bis jetzt über das iPhone 6 wissen [Mockup von CiccareseDesign]")
Aktuelle Gerüchte zum iPhone 5, iPhone 6, iPad Mini und Apple HDTV
- iPhone 5 mit der etwas anderen, universalen TV-Fernbedienung? [Patente]
- Foxconn: iPhone 5 schon im Juni 2012?
- Was wir bis jetzt über das iPhone 6 wissen
- Apple iPad Mini: Interne Tests mit 7,85 Zoll-Display und 1024×768 px.-Auflösung?
- Apple HDTV: Release in Q4 2012 als iPanel?
- Neue iPhone 5 Gerüchte: Entsperren per Gesichtserkennung und Intelligente Kamera?
Gerüchte zur neuen Mac-Generation
- Apple MacBook Pro 2012: Produktionsstart wohl Mitte April
- Apple iMac 2012: Update bringt Intel Ivy Bridge-CPUs und neues Design? Release im Juni 2012?
Unlock für iPhone 4S & Co.: Neue Methode zum Entsperren ohne zusätzliche Hard- oder Software (nur AT&T?)
Es scheint, als hätte Michael Capozzi einen Weg gefunden sein iPhone 4S ohne zusätzliche Hard- oder Software zu entsperren. Die Methode ist angeblich auch mit dem iPhone 4 und iPhone 3GS kompatibel und hält bis zum nächsten Zurücksetzen (Reset) des iPhones, beschränkt sich aber ersten Berichten zufolge auf Geräte, die über den amerikanischen Provider AT&T gekauft wurden.
Für diese Unlock-Methode wird eine Sicherheitslücke bei der Vergabe der TMSI ausgenutzt, die vermutlich schon in Kürze geschlossen wird.
Die Anleitung in 15 Schritten folgt im Anschluss: Weiterlesen
iOS 5.0.1 Beta löst iPhone 4S Batterieprobleme, iPad 2 Sicherheitslücke, …
In Antwort auf eine Reihe von Bugs, die in iOS 5.0 von den Benutzern festgestellt wurde, hat Apple nun für Entwickler eine erste Betaversion von iOS 5.0.1 herausgegeben.
Eine kleine Anzahl an Kunden hat uns davon berichtet, dass die Akkulaufzeit ihrer iOS 5 Geräte geringer ist als erwartet. Wir haben einige Bugs gefunden, die die Lebensdauer des Akkus beeinflussen, und werden in wenigen Wochen ein Firmware-Update veröffentlichen, das sich diesen Problemen widmet.
Das 811 MB große Update, das registrierte iOS Entwickler im Developer Center herunterladen können, soll den iPhone 4S Stromverbrauch reduzieren (und dadurch das Batterieproblem lösen), die Sicherheitslücke schließen, durch die das iPad 2 mit SmartCover ohne Passcode aufgeweckt werden konnte (siehe Video am Artikelende), und Probleme mit Documents in der Cloud (iCloud) beheben.
Außerdem bekommt das iPad 1 Multitasking-Gesten und Australien bekommt eine bessere Spracherkennung.
iOS 5.0.1 beta contains improvements and other bug fixes including:
– Fixes bugs affecting battery life
– Adds Multitasking Gestures for original iPad
– Resolves bugs with Documents in the Cloud
– Improves voice recognition for Australian users using dictation
– Contains security improvementsiOS 5.0.1 beta introduces a new way for developers to specify files that should remain on device, even in low storage situations.
Interessant ist auch, dass die iOS 5.0.1 Beta für Entwickler am 14. Dezember 2011 abläuft.
httpvh://www.youtube.com/watch?v=NLgQ22naQhE
Sicherheitslücke oder Feature? Siri umgeht Telefonsperre (Anrufe aufbauen, SMS senden, Kontaktdaten anzeigen)
Siri kann sehr praktisch sein, eine Funktion ist allerdings nicht ganz unumstritten: Siri kann über den Befehl "Siri, rufe ... an" auch an einem Passcode-gesperrten iPhone Telefonanrufe aufbauen (im Video bei 01:05).
httpvh://www.youtube.com/watch?v=UM0Ee4KW5-I
Nicht nur das: Mithilfe von Siri kann man an einem gesperrten iPhone 4S auch SMS verschicken, sich Kontaktdaten aus dem Telefonbuch anzeigen lassen, oder Fotos schießen:
“Man kann Nachrichten unter fremdem Namen verschicken oder Leute zu Terminen einladen. Es ist möglich herauszufinden, wer im Adressbuch steht und wer mit wem in Kontakt ist”, schildert Cluley. “Man kann auch per Siri-Kommando peinliche Fotos schießen, die dann vielleicht mit weiteren Geräten synchronisiert und von anderen Menschen gesehen werden.”
Da es sich dabei nicht einfach um einen Software-Bug handelt, sondern Apple diese Funktionen als Feature geplant hat, kann man diese vermeintliche Sicherheitslücke aber ganz einfach in den Einstellungen deaktivieren: Einfach "Erlaube Zugang zu Siri, wenn das Telefon gesperrt ist" deaktivieren (unter "Allgemein - Code-Sperre").
Infografik: Malware und Angriffe auf Mobilgeräte (inkl. iPhone, iPad)
iPhone & Co. werden heutzutage für fast alles verwendet. Auch sensible Daten wie zB. Bank-Zugangsdaten etc. werden am Mobilgerät häufig aus Bequemlichkeit gespeichert. Wie sieht es aber mit der Sicherheit dieser Daten aus?
Mit der zunehmenden Bedeutung mobiler Systeme, vom Smartphone bis hin zum Tablet, stieg im letzten Jahr auch die Häufigkeit von Angriffen über Malware & Co (also schadhafte oder mit Viren & Trojanern infizierte Software).
Der Zweck der meisten Malware-Programme und Apps ist das heimtückische Ausspionieren von Passwörtern oder Bank-Zugangsdaten. Infizierte Geräte können aber auch dazu missbraucht werden, Nachrichten ohne Zutun des Benutzers an Mehrwertnummern zu schicken, oder für verteilte Angriffe an digitale Ziele (Server etc.) verwendet werden.
Eine Übersicht über den aktuellen Stand von mobiler Malware - von den Zielen der Malware-Programmierer bis hin zu den häufigsten Arten, wie Malware auf ein Gerät kommt, gibt es jetzt von Software-Firma Bullgard. Wie gezeigt wird, sind auch iPhone & iPad nicht zu 100 % sicher vor solchen Angriffen.
Die vollständige Infografik gibt's im Anschluss: Weiterlesen
iOS 4.3.5: Weiteres Sicherheitsupdate für iPhone, iPad und iPod Touch
Nur wenige Tage, nachdem Apple mit iOS 4.3.4 eine PDF-Sicherheitslücke schloss, liefert der Tech-Riese jetzt ein weiteres Sicherheitsupdate nach: iOS 4.3.5 behebt eine Sicherheitslücke aus dem Bereich "Certificate validation", durch das übertragene Daten aus mit SSL/TLS verschlüsselten Verbindungen gefährdet waren.
Jailbreaker sollten von dem Update für iPhone 4, iPhone 3GS, iPad und iPad 2, sowie iPod Touch 3G und 4G wie immer Abstand nehmen!
Details zum Software-Update im Anschluss: Weiterlesen
JailbreakMe 3.0: Jailbreak für alle Geräte (inkl. iPad 2!) bis iOS 4.3.3
Comex und das Dev Team haben es erneut geschafft: Mit JailbreakMe 3.0 wurde vor wenigen Minuten die 3. Generation der wohl einfachsten Jailbreak-Methode der Welt veröffentlicht, die alle iOS-Geräte (iPhone 4, iPad 2 und iPod Touch 4G, aber auch die ältere Generation mit iPhone 3GS, iPad 1 und iPod Touch 3G) unter iOS 4.3 bis iOS 4.3.3 jailbreaken kann.
Um sein Gerät aus dem Gefängnis zu holen (Jailbreak = "Gefängnis-Ausbruch"), einfach mit dem mobilen Browser www.jailbreakme.com aufrufen, und dort mit einem Tap installieren.
Nachdem für diesen Jailbreak erneut eine PDF-Sicherheitslücke ausgenutzt wird und diese mit dem Jailbreak öffentlich wird, empfiehlt das Dev Team nach dem Jailbreak-Vorgang die Installation von PDF Patcher 2 (in Cydia), um die Sicherheitslücke zu schließen.
Video-Anleitung (in schlechter Qualität) im Anschluss:Weiterlesen
iPhone IMEI Unlock: Apple schließt System-Schwachstelle
Der vor wenigen Tagen vorgestellte Webservice (und alle ähnlichen) zum Entsperren eines beliebigen iPhones mit Hilfe der IMEI (eindeutige Identifikationsnummer eines Mobiltelefons) hat nun offiziell seinen Dienst eingestellt: Wie ein alternativer Anbieter via Twitter erklärte, stimmen die Gerüchte - Apple hat die für den Unlock ausgenutzte Schwachstelle im System gefunden und beseitigt. Ein Unlock via IMEI ist nicht mehr so einfach möglich.
What is being said is correct. It is officially over! [...] Apple might relock your IMEI. Make sure you back up your activation token w/ SAM to stay unlocked in future. Important!
Weil Apple die unauthorisiert entsperrten iPhones leicht wieder auf dem selben Weg mit einem neuen SIM-Lock versehen könnte, wird allen IMEI-Unlockern geraten, möglichst bald mit Hilfe von SAM ihren "Activation Token" zu sichern.
iOS-Sicherheitslücke: Kontakte „remote“ aus dem iPhone 4 löschen
Beim Hackerwettbewerb pwn2own geht es darum, Sicherheitslücken in Betriebssystemen und Internet-Browsern auszunützen und sich Zugriff auf das gehackte Gerät zu verschaffen.
Vor einigen Tagen fand der aktuellste pwn2own Contest statt, und Sicherheitsexperte Charlie Miller verdiente sich durch seine neu entdeckte Safari-Sicherheitslücke ein Preisgeld von bis zu 15.000 $: Mit einem Cyber-Angriff gelang es ihm in nur wenigen Sekunden, über den mobilen Safari am iPhone das gesamte iPhone-Adressbuch automatisch zu löschen.
The attack simply required that the target iPhone surfs to a rigged web site. On first attempt at the drive-by exploit, the iPhone browser crashed but once it was relaunched, Miller was able to hijack the entire address book.
Der Angriff funktioniert in allen iOS-Versionen bis inkl. 4.2.1, in iOS 4.3 ist die Lücke zwar noch vorhanden, aber durch das sogenannte ASLR (Address Space Layout Randomization; eine zusätzliche Hacker-Blockade) unschädlich gemacht.
Um Opfer so eines Angriffs zu werden, muss der Benutzer übrigens zuerst auf eine dementsprechend manipulierte Website aufrufen. Wer vorsichtig surft, sollte also auch mit seinem Gerät bis iOS 4.2.1 im sicheren Bereich sein.
Achtung Phishing: Falsche Adresszeile im mobilen Safari [UI Spoofing]
Es ist wieder einmal Vorsicht geboten: Beim Internet-Surfen am iPhone kann man schnell einer neuen Technik auflaufen, durch die Benutzernamen, Passworter etc. ausgespäht werden können (sog. Phishing).
Der Trick ist recht simpel: Weil die Adresszeile im mobilen Safari ausgeblendet wird, sobald eine Seite vollständig geladen ist, kann man leicht durch ein in der Seite eingefügtes Bild einer Adresszeile getäuscht werden.
Gerät man über einen falschen Link zu einer Phishing-Seite (oft werden Bank-Seiten etc. vorgetäuscht), sieht man in der immitierten Adresszeile nicht die wahre URL, sondern die erwartete "richtige" Adresse, und gibt beim Login-Versuch seine sensiblen Benutzerdaten Hackern preis.
httpvh://www.youtube.com/watch?v=MUg3c7yjHPs
Nitesh Dhanjani, der das UI Spoofing (UI für "User Interface") jetzt aufzeigt, machte Apple bereits auf die Technik aufmerksam. Dort wisse man aber noch nicht, wie dem Problem entgegnet werden könne:
I did contact Apple about this issue and they let me know they are aware of the implications but do not know when and how they will address the issue.
Beim Besuch von sensiblen Webseiten - besonders, wenn über einen fremden Link im Internet darauf zugegriffen wird, wird daher erst einmal geraten, vorsichtshalber ganz nach oben zu scrollen und die tatsächliche Adresse zu überprüfen.
Sicherheitslücke: iPhone-Apps über spezielle Hyperlinks steuern
IT-Sicherheitsexperte Nitesh Dhanjani macht in seinem Blog auf eine ernstzunehmende Sicherheitslücke in iOS aufmerksam: Über spezielle Links können iPhone-Apps direkt aus dem mobilen Safari-Browser angesprochen und gestartet werden.
Baut man z.B. folgendes iFrame in eine Website ein:
<iframe src=”tel:1-408-555-5555”>dann öffnet sich ein Dialog, in dem der Benutzer den Anruf der Telefonnummer bestätigen oder ablehnen kann.
Bei Drittanbieter-Apps (z.B. Skype) erscheint aber nicht immer Sicherheits-Nachfrage:
<iframe src=”skype://14085555555?call">
Skype ist, so Dhanjani, nur ein Beispiel aus einer Vielzahl von Apps, die ohne User-Interaktion gestartet und angesprochen werden können. Mit Hilfe von registrierten Aktionen (z.B. ein Skype-Anruf) können Apps also bis zu einem gewissen Grad direkt angesprochen werden.
Nicht nur das iPhone, sondern auch das iPad und der iPod Touch sind von diesem Problem betroffen.
Third party developers, including developers who create custom applications for enterprise use, need to realize their URL handlers can be invoked by a user landing upon a malicious website and not assume that the user authorized it. Apple also needs to step up and allow the registration of URL Schemes that can instruct Safari to throw an authorization request prior to yanking the user away into the application.
Auf Anfrage von Dhanjani erklärte Apple anscheinend, dass die jeweiligen Entwickler für die Absicherung ihrer Apps verantwortlich seien.
Sicherheitslücke in PayPal App – Update empfohlen!
Wie das WallStreet Journal berichtet, fanden Hacker eine Sicherheitslücke in der PayPal App für iOS.
The PayPal hole results from the app's failure to verify the digital certificate for the payment service's website. Such certificates function as electronic ID cards that let a user's device know a website is legitimate.
Without that confirmation, a hacker could electronically step between a user and PayPal, pretend to be the PayPal website and gather usernames and passwords. The hacker would need to be in the same physical location as the user or have gained access to the same Wi-Fi network.
Eine Sprecherin von PayPal hat bestätigt, dass die Sicherheitslücke am Dienstag Abend bestätigt wurde, und ein Update der App bereits im AppStore verfügbar ist. Die Lücke kann zwar nur ausgenutzt werden, wenn man die App über ein ungesichertes WiFi-Netz benutzt, trotzdem wird ein baldiges Update der App dringend empfohlen.