Forum

Florian

  • Verderbliche Ware!
Re: Apple und die Sicherheit
Antwort #542: Juli 23, 2014, 14:00:47
Aber echt, jetzt bin ich gespannt ob da doch noch was dran ist.
Direkter Link zum Supportdokument: http://support.apple.com/kb/HT6331
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Apple und die Sicherheit
Antwort #543: Juli 27, 2014, 10:05:58
Tja, so wie ich es sehe, liegt das Problem an dem Punkt, dass man vor dem Zugriff auf einem entsperrten Gerät manuell dem fremden Computer vertrauen muss.

D.h. solange man das Gerät nicht offen an andere weitergibt, ist es eigentlich unproblematisch.
Aber: Genau das kann doch mittlerweile per Zwang bei Grenzkontrollen geschehen, oder?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Apple und die Sicherheit
Antwort #545: August 04, 2014, 14:31:47
USB-Sticks sind in vielen sicherheitsrelevanten Bereichen schon seit Jahren verboten, was die Attacke natürlich nicht unmöglich macht. Ich meine nur, die wissen schon, warum.
Auf Virenfilter konnte man sich nämlich auch bei reinen Softwareattacken nicht verlassen.

Nun also die totale Schutzlosigkeit.

_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Apple und die Sicherheit
Antwort #546: September 01, 2014, 14:13:42
Anders als der direkte Login auf iCloud.com oder in iTunes war Find My iPhone nicht gegen das zufällige Ausprobieren von Hunderten Passwörtern geschützt:
http://www.computerbase.de/2014-09/icloud-hack-sicherheitsluecke-geschlossen-apple/

Warum immer noch diese, nunja, Anfängerfehler?


Ergänzung:
http://www.heise.de/mac-and-i/meldung/Apple-untersucht-moeglichen-iCloud-Hack-2305823.html
« Letzte Änderung: September 02, 2014, 10:33:54 von radneuerfinder »

Florian

  • Verderbliche Ware!
Re: Apple und die Sicherheit
Antwort #547: September 02, 2014, 14:04:57
Das wäre für Apple schon sehr peinlich. Generell habe ich natürlich Zweifel an Clouds aller Art, wie schon oft gesagt.
Apple schlampig und die Stars naiv…

Heute lese ich, dass man, über Werbung auf der entsprechenden Seite, mit geklauten Nacktphotos von Prominenten an die 50 000 $ am Tag verdienen kann.
Verstehe das nicht! Die meisten Pop-Stars usw. sind doch eh ständig möglichst weitgehend nackt zu sehen, der Rest ist ja wohl auch im Geiste hinzufügbar.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Apple und die Sicherheit
Antwort #548: September 02, 2014, 14:21:23
Das wäre für Apple schon sehr peinlich. Generell habe ich natürlich Zweifel an Clouds aller Art, wie schon oft gesagt.
Apple schlampig und die Stars naiv…

Heute lese ich, dass man, über Werbung auf der entsprechenden Seite, mit geklauten Nacktphotos von Prominenten an die 50 000 $ am Tag verdienen kann.
Verstehe das nicht! Die meisten Pop-Stars usw. sind doch eh ständig möglichst weitgehend nackt zu sehen, der Rest ist ja wohl auch im Geiste hinzufügbar.

Vermutlich geht es jetzt wieder um Schadenersatzansprüche der Stars. Ein cleverer Anwalt wird da schon was finden um den Providern oder auch Apple am Zeugs zu flicken.

Jochen
_______
Wenn Du es eilig hast, gehe langsam.
Re: Apple und die Sicherheit
Antwort #549: September 03, 2014, 08:58:51
Tja, "The Fappening"...

Warum immer noch diese, nunja, Anfängerfehler?

Richtig, das ist wirklich die Frage und ziemlich peinlich für Apple. Der Schutz gegen Bruteforce-Attacken an anderen Stellen wurde schon länger eingeführt, an dieser Stelle wohl vergessen. Klarer Fehler von Apple und nicht zu entschuldigen.

Inwieweit das aber mit "The Fappening" zu tun hat, ist ziemlich offen.
- Die Bilder sollen wohl nicht alle mit iOS-Geräten gemacht worden sein (auch mit Android etc.), sollen aus unterschiedlichsten Zeitpunkten stammen und ähnliches. Ein bisschen sieht es so aus, als ob da Bilder aus unterschiedlichsten Quellen nun gesammelt erscheinen. Ob und inwieweit iCloud da beteiligt ist, ist völlig offen.
- Falls die aber doch alle aus der iCloud stammen (Fotostreaming) und mit dem oben erwähnten Fehler von Apple per Bruteforce ermittelt wurden, müssen zusätzlich zu dem Apple-Fehler auch noch ziemlich schlechte Kennwörter benutzt worden sein. Sonst wäre Bruteforce nicht erfolgreich gewesen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Apple und die Sicherheit
Antwort #552: September 04, 2014, 07:03:23
http://techcrunch.com/2014/09/02/apples-two-factor-authentication-doesnt-protect-icloud-backups-or-photo-streams

Wie funktioniert diese 2-Faktor-Authorisierung eigentlich? So wie ich es verstanden habe, bekommt man dann auf ein zweites Gerät z.B. eine SMS und muss dessen Inhalt eingeben?
Hätte man nur ein iPhone und wollte aus dem iCloud Backup wiederherstellen, wie soll das dann gehen?

Zitat
http://9to5mac.com/2014/09/03/metadata-analysis-of-leaked-photos-suggest-complete-iphone-backups-obtained

OK, die Daten scheinen tatsächlich aus der iCloud zu stammen. Zwar nicht aus dem Photostream, aber aus dem Backup.

Für mich zeigt das ganze, unabhängig von Implementierungsschwächen von Apple (kein durchgängiger BruteForce-Schutz), das grundsätzliche Dilemma:
- auch wenn auf Cloudseite alles richtig gemacht wurde, muss man ein vernünftiges Kennwort haben.
- auch wenn man ein vernünftiges Kennwort benutzt, können Daten über Fehler oder Schwächen der iCloud evtl. in falsche Hände geraten.
(- das Geheimdienste ziemlich sicher auch ohne Schwächen oder Lücken Zugriff haben, halte ich für sicher.)

Für mich: Keine Backups oder nicht-öffentliche Daten in eine Cloud. Und da bleibe ich weiter bei.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

mbs

Re: Apple und die Sicherheit
Antwort #553: September 04, 2014, 08:39:01
Hätte man nur ein iPhone und wollte aus dem iCloud Backup wiederherstellen, wie soll das dann gehen?

Ganz einfach: Keine einzige iCloud-Funktion ist mit Zwei-Faktor-Authentifizierung geschützt. Du hast selbst schon ein sehr gutes Beispiel gebracht, warum das in der Praxis auch kaum möglich ist.

Das Gerede über das Zwei-Faktor-Verfahren hat also gar nichts mit dem Problem zu tun, sondern ist reine Propaganda, um von den wahren architekturellen Lücken einer Cloud abzulenken. Wie in der oben zitierten Folie schon ersichtlich, schützt Apple nur die folgenden drei Dinge mit diesem Verfahren:

- Das Ändern der Apple-ID-Kontodaten.
- Der Zugriff auf den App Store von einem vorher nicht benutzten Gerät aus.
- Die Inanspruchnahme von Apple-Support-Leistungen, die an eine Apple-ID geknüpft sind.

Zitat
So wie ich es verstanden habe, bekommt man dann auf ein zweites Gerät z.B. eine SMS und muss dessen Inhalt eingeben?

Soweit ich weiß, muss es kein zweites Gerät sein und eine SMS ist es nur, wenn es nicht anders geht. Ein iPad ohne 3G-Funktion ließe sich per SMS gar nicht erreichen. Für die Übertragung des Zwei-Faktor-Codes wird offenbar eine "Notfall-Push-Nachricht" direkt auf den Lockscreen des Geräts gesendet. Das ist die gleiche Funktion von "Find my Device", mit der man nach einem Diebstahl das Gerät auch abschließen oder fernlöschen kann.
Re: Apple und die Sicherheit
Antwort #554: September 04, 2014, 08:47:25
Das Gerede über das Zwei-Faktor-Verfahren hat also gar nichts mit dem Problem zu tun, sondern ist reine Propaganda, um von den wahren architekturellen Lücken einer Cloud abzulenken.

Danke, damit hast Du meine Meinung zu Clouds an sich gut bestätigt. :)
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller