Ankündigung

Einklappen
Keine Ankündigung bisher.

Ankündigung

Einklappen
Keine Ankündigung bisher.

iOS-Sicherheitslücke 6 Monate offen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    iOS-Sicherheitslücke 6 Monate offen

    Wie Dr. Elie Bursztein jetzt bekannt gab, lag die Kommunikation zwischen iOS-Geräten und dem App-Store von Apple für Angreifer offen, sofern das iOS-Gerät in einem öffentlichen WLAN (Hotels, Kaffees, etc.) eingesetzt wurde.

    BERICHT

    Kommt gar nicht gut im Umfeld, als Phil sich via Tweet mit dem F-Secure-Report über Android belustigte. Ich finde es echt mal wieder typisch, dass Apple bei einer so schwerwiegenden Lücke satte 6 Monate zum Schließen braucht.

    Das geht gar nicht!
    Das habe ich nie gesagt.

    #2
    Wann hat sich Apple denn noch 6 Monate Zeit gelassen und welchen Schaden gab es?

    Kommentar


      #3
      Wann? Na genau ab dem Tag, als Elie es an Apple aus seiner Freizeit heraus berichtete, da er ja sonst für Google arbeitet. Ich finde es echt ehrenwert, dass er das nicht raus posaunt hat.

      Und es ist typisch, dass Apple sich immer riesig zeit lässt, um Lücken zu schließen. Von Juli 2012 bis Januar 2013 sind etwa 6 Monate.

      Korrektur: Du hast ja recht denn von Juli 2012 bis Ende Februar sind sogar 8 Monate (!!!)

      Zitat Dr. Bernzstein: "Early July 2012, I reported to Apple numerous vulnerabilities related to their App Store iOS app. Last week Apple finally issued a fix for it and turned on HTTPS for the App Store"
      Das habe ich nie gesagt.

      Kommentar


        #4
        Du hast mich falsch verstanden. Wenn es typisch Apple ist, dann lässt sich Apple also immer so lange Zeit?

        Und weißt du, wie kritisch diese Lücke tatsächlich ist? Bisher waren die Lücken bei Apple nach meinem Empfinden nur theoretischer Natur und haben in der freien Wildbahn keinen Schaden angerichtet.

        Kommentar


          #5
          Es wäre zu schön, wenn alle Schäden, die weltweit durch Cyber Crime entstehen auch noch genau berichtet werden. ich glaube, dass es diese Art Buchführung der Kriminellen niemals geben wird. Wenn ich mir den Cyber War mit seinen sekündlichen Bombeneinschlagen so betrachte, vermute ich, dass es niemals eine Webseite geben wird, die auch nur annähern so detailliert über Schäden berichtet, am besten noch mit Euro und Dollar dahinter
          Das habe ich nie gesagt.

          Kommentar


            #6
            Zitat von mattin Beitrag anzeigen
            nur theoretischer Natur und haben in der freien Wildbahn keinen Schaden angerichtet.
            In dem Video sieht man ja doch sehr schön, dass es nicht "rein theoretisch" möglich gewesen wäre, sondern dass es möglich war. Der Schaden ist in der Tat nicht ganz so schlimm, wie bei einem gestohlenen Kreditkartensatz, aber mein iTunes-Passwort in fremden Händen oder wie in den Szenarien noch gezeigt kann schon ganz schönen "Randale-Schaden" verursachen.

            Der Eingriff ist bei weitem nicht so zu bewerten, wie er durch Malware entstehen kann, da diese weltweit angreifen kann, während es bei WLAN-Zugriffen extrem beschränkt ist, da sich der Angreifer im selben WLAN befinden muss. Richtig, hier hätten überwiegend ein paar intelligente Cyber Kids bei ihrer Mc-Donald's-Randale Tour ihren Spass.

            ... und dennoch, mal im ernst: Wie kann Apple die Kommunikation zwischen iOS-Gerät und App-Store nur per HTTP zulassen? Wieso? Wo ist das Problem bei der Zertifizierung/HTTPS?

            Und die Frage, die ich selbst bei aller Liebe für Apple nicht wegwischen kann ist doch die:

            Wieso wird an einigen Stellen HTTPS und an anderen Stellen HTTP eingesetzt? Hast Du eine Erklärung dafür, wieso man das so entwickelt und nicht durchgängig auf HTTPS setzt (Erst recht, wenn man Apple heißt)?
            Das habe ich nie gesagt.

            Kommentar


              #7
              Stimmt, das geht gar nicht. Apple spielt hier ein gewagtes Spiel. Danke für deine Einschätzungen.

              Kommentar


                #8
                Korrektur: Gibt es keine Antworten? Satt dessen ... äh, geblubber?
                Das habe ich nie gesagt.

                Kommentar


                  #9
                  Wie wäre es mit schlichter "Dummheit" als Grund? Apple ist in der Vergangenheit schon mehrfach mit viel zu großen Patchzeiten aufgefallen (oft wurde auch erst gepatcht, als die Kritik zu laut wurde). Das hier ist doch jetzt nichts Neues...

                  Andererseits: das SSL-System ist sowieso dermassen kaputt, dass man sich sowieso nicht darauf verlassen sollte (Diginotar). Schau einfach mal in deine OSX-Systemkeychain, wer da alles als Root-Zertifikatsinstanz eingetragen ist. Die alle können sich auch mit aktiviertem https dazwischenstellen und schön mithören.

                  Kommentar


                    #10
                    Zitat von Pablo Nop Beitrag anzeigen
                    Die alle können sich auch mit aktiviertem https dazwischenstellen und schön mithören.
                    Hast Du ein Beispielszenario?
                    Das habe ich nie gesagt.

                    Kommentar


                      #11
                      Das SSL-System ist broken by design. Jeder in der Liste der Rootzertifikate (z.B. China Telecom, Türk-Telecom, etc.) kann für jede Domain der Welt ein gültiges SSL-Zertifilat ausstellen. Diginotar in Holland wurde gehackt und es wurden u.a. SSL-Zertifikte für Google damit erstellt. Vermutlich wurden genau diese Zertifikate dann benutzt um im Iran die Dissidenten auszuspionieren. Und Diginotar war nicht der erste Fall, wo eine Root-CA gehackt wurde.

                      Kommentar


                        #12
                        Ich werde das Gefühl nicht los, dass das Thema SICHERHEIT noch weit unterschätzt wird. Es ist schon bezeichnend, dass 96 Prozent (!!! das ist fast 100) aller angegriffenen Unternehmen keine Anzeige erstatten. Die Bitkom gibt an, dass über 40 Prozent aller Unternehmen in Deutschland angegriffen worden sind und über die Hälfte hat keinen Notfallplan. Der Cybercrime Markt, so Gartner, wird bis 2016 etwa 86 Mrd. US$ ausmachen.

                        Viren sind ein Problem von gestern. Heute sehen die Lücken etwas anders aus. OS X und iOS scheinen hier etwas besser abzuschneiden, als Windows-Netzwerke und PC's, doch wir alle stehen in der Gefahrenzone, die immer nur so gut ist, wie der Anwender davor ... geschult wurde.

                        Die Investments in diese Art von Qualifikation sollte meiner Meinung nach nicht im Unternehmen, sondern bereits in der Schule stattfinden. Heute ist das alles noch ein Thema mal hier mal da, mal im TV ien Bericht und so weiter, aber keine systematische Ausbildung, wie es sich in einer Gesellschaft gehört, die sich Wissengesellschaft nennt.

                        Warten wir mal ab. Verbände wie die Bitkom könnten sich hier als nützlich erweisen, entsprechende Lobbyarbeit in der Politik zu betreiben, die echt mal nützlich für alle wäre.
                        Das habe ich nie gesagt.

                        Kommentar


                          #13
                          Die Investments in diese Art von Qualifikation sollte meiner Meinung nach nicht im Unternehmen, sondern bereits in der Schule stattfinden.
                          Ja sicher, dann sparen die Unternehmen Geld. Dass sich dann Kinder und Jugendliche zusätzlich zur enormen Stofffülle und der verkürzten Zeit auch noch mit dem total simplen Thema It-Infrastruktur und Sicherheit erschöpfend befassen müssen spielt ja keine Rolle. Und breit angelegtes oberflächliches Wissen hilft uns ja auch total super gegen Cyber-Kriminalität.

                          Kommentar


                            #14
                            Ach was, nicht so kritisch, Rappo!

                            Meine Jungs lernen das daheim beim Abendbrot, wenn man sich halt unterhält. Ich fänds halt cool in der Schul und wenn die Kids was interessiert, dann doch Computergedöns.

                            Das habe ich nie gesagt.

                            Kommentar


                              #15
                              Naja Elchie,
                              Computerspiele und Anwendungen interessiert sie bestimmt, aber die Technik dahinter ist nun mal leider recht kompliziert.
                              Lass deine Jungs doch mal eine Uni-Prüfung aus dem ersten Semester zum Schwerpunkt Systemadministration machen. Dann siehst du, was du ihnen beigebracht hast. Das werden sie ja wohl beim Frühstück bewältigen können.

                              Kommentar

                              Lädt...
                              X