Forum

Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #45: Dezember 03, 2011, 08:06:16
Hammer, daß Apple diese Software nutzt/zulässt und keine eigene. Egal welche Daten wirklich ausgewertet werden und wurden - siehe Florian.

Hammer, daß es jahrelang heimlich geschah.

Dann hatte ich das doch richtig verstanden.

Aber das stimmt doch nach aktuellen Informationen alles gar nicht.

Beim iPhone:
Dort war und ist eine Software installiert, die von der Firma Carrier IQ stammt und Logs von abgestürzten Programmen und Prozessen sammelt.
Unter iOS<5 lief diese Software grundsätzlich. Die gesammelten Logs wurden von iTunes an Apple übertragen, wenn man diesem explizit zugestimmt hat!
Unter iOS 5 muss man explizit zustimmen, damit die Software überhaupt läuft und die Daten direkt vom Gerät an Apple sendet. Man kann sogar direkt am gerät einsehen, was für Daten gesammelt wurden. In Zukunft soll nicht mehr eine Software der Firma Carrier IQ verwendet werden. Da hat Apple dann wahrscheinlich was eigenes.
In beiden Fällen hat die Software mit der unter Android entdeckten genau eines gemeinsam: Der Hersteller ist der gleiche!. Weder Funktionsumfang, noch eingesetzte Methoden, noch Empfänger sind identisch, ähnlich oder vergleichbar.

Also nix mit heimlich und schon gar nicht etwas mit Ausspionieren des Benutzers. Irre ich mich oder gibt es neue Informationen?

Bei Android und einigen anderen:
Es ist auf einigen Geräten eine Software der Firma Carrier IQ gefunden worden, die versteckt und ohne Benutzerzustimmung Daten sammelt und überträgt. Dabei können auch Tastatureingaben und angezeigte Daten übertragen werden. Also von der Funktionalität etwas völlig anderes.
Entdeckt wurde es auf von amerikanischen Providern gebrandeten Geräten (also Einbau vom Provider) und in geringem Maße auf einigen Geräten eines Herstellers (also Einbau durch den Hersteller).

Irre ich mich oder gibt es neue Informationen?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #46: Dezember 03, 2011, 09:43:20
Es wird immer vom rechtsfreien Raum gefaselt, wenn Bürger sich nicht überwachen lassen wollen. Den Konzernen dagegen, wo alle Missetaten klar zu erkennen sind, lässt man weitestgehend freie Hand.

Das ist IMO grundsätzlich auch richtig so. Staatlicher Überwachung kann sich keiner entziehen. Den "Überwachungen" durch Private hingegen schon. Zumindest solange Marktkräfte spielen. Aufgabe des Staates kann es IMO nur sein, sicherzustellen, dass die Marktkräfte spielen. Auch das ist ja wieder staatliche Überwachung. Aber immerhin eine aufs Nötigste reduzierte. Jedes Mehr ist IMO der Versuch, den Teufel mit dem Beelzebub austreiben zu wollen. Zumal ich staatliche Überwachung in ihren Auswirkungen auf das Individuum für weitaus gefährlicher halte, da sie sich für ein weitaus grösseres Spektrum der Persönlichkeit interessiert, als die "Überwachung" durch Firmen, die sich weitestgehend auf kommerzielle Interessen beschränken dürfte.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

Florian

  • Es lebe der König!
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #47: Dezember 03, 2011, 15:15:41
Mir ging es um etwas anderes, war wohl missverständlich.

Man kann nicht einerseits ständig fälschlich (!) vom rechtsfreien Raum faseln, wenn es um die kleinen und großen Verfehlungen von Bürgern geht, aber gleichzeitig die Vergehen der Konzerne tatsächlich weitgehend ignorieren.

Gut, der bayerische Datenschutzbeauftragte hat ja jetzt mal Apple um Stellungnahme gebeten.  ::)




 
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #48: Dezember 03, 2011, 15:30:06
Gut, der bayerische Datenschutzbeauftragte hat ja jetzt mal Apple um Stellungnahme gebeten.  ::)

Und was soll Apple da antworten? "Ja, wir haben Daten über Funkzellenqualitäten und abgestürzte Programme anonymisiert empfangen und gespeichert, wenn der Benutzer es explizit erlaubt hat." ?

Wurden denn auch Stellungnahmen der Firmen erbeten, die wirklich heimlich und versteckt beliebige Daten erheben konnten? Vermutlich nicht, geht ja nicht um Apple.  ::)
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Es lebe der König!
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #49: Dezember 03, 2011, 15:44:42
Ganz genau. Darum mein Smilie.

Außerdem hat Apple ja schon Stellung genommen.
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #50: Dezember 04, 2011, 14:22:02
Ok, Wenn ich Glück habe, dann hat Apple nur harmlose Daten gesammelt. Aber so genau ist das ja noch nicht bekannt.
Es wurde eine Software verwendet, die Patrick weiter oben so charakterisiert hat: "Dagegen ist der Bundestrojaner wohl Spielzeug..." Apple hat laut eigener Aussage aber nur harmloses damit gemacht. Aus der Tatsache, daß CIQ auf iOS erst jetzt bekannt wurde, schließe ich, daß die Software ebenso wie auf Android versteckt wurde. Finde ich in Summe immer noch hammermäßig. Ich möchte damit gar nicht bestreiten, daß Apple relativ zu Android viel besser dasteht. Aber eben nur relativ.

Unter iOS<5 lief diese Software grundsätzlich. Die gesammelten Logs wurden von iTunes an Apple übertragen, wenn man diesem explizit zugestimmt hat!

Wer sagt das? Erschwerend kommt hinzu, daß ich den Zustimmungsknopf in iTunes noch nie gesehen habe. Und wenn, mir nicht klar war, daß damit nicht nur iTunes Daten, sonder auch iPhone Daten gemeint sein könnten.
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #51: Dezember 05, 2011, 08:55:51
Ok, Wenn ich Glück habe, dann hat Apple nur harmlose Daten gesammelt. Aber so genau ist das ja noch nicht bekannt.
Es wurde eine Software verwendet, die Patrick weiter oben so charakterisiert hat: "Dagegen ist der Bundestrojaner wohl Spielzeug..."

Das entspricht nicht den aktuellen Informationen. Patrick bezog sich auf eine Software, die bisher nur(!) unter Android entdeckt wurde. Bisher habe ich noch keine Information dazu gelesen, dass die gleiche Software unter iOS läuft!
Die Software hat mit der unter Android entdeckten genau eines gemeinsam: Der Hersteller ist der gleiche!. Weder Funktionsumfang, noch eingesetzte Methoden, noch Empfänger sind identisch, ähnlich oder vergleichbar.
Oder gibt es irgendwo schon neuere andere Informationen?

Zitat
Apple hat laut eigener Aussage aber nur harmloses damit gemacht.

Das stimmt so nicht. Apple hat geschrieben, dass sie nur "harmloses" machen. Deine Aussage impliziert, dass Apple zugegeben hätte, dass die Software wie unter Android mehr kann. Dafür gibt es aktuell keine Hinweise.

Zitat
Aus der Tatsache, daß CIQ auf iOS erst jetzt bekannt wurde, schließe ich, daß die Software ebenso wie auf Android versteckt wurde.

Unter Android wurden alle GUI-Menüs und die Konfigurationsmöglichkeiten entfernt, damit man das Programm nicht sieht und weder abschalten noch konfigurieren kann. Es verbindet sich ohne Rückfrage an den Benutzer mit dem Steuerungsserver.

Zitat
Finde ich in Summe immer noch hammermäßig.

Sorry, die aktuellen Erkenntnisse finde ich nicht hammermäßig. Aktueller Stand ist: Das Gerät (oder früher iTunes) verschickt Crashreports nach Nachfrage beim User an Apple. Woran erinnert mich das? Ach ja, auch unter OS X kann man bei Abstürzen den Crashreport an Apple senden. Oder bei Abstürzen von FF kann man den Report an Mozilla senden. Auch Windows macht bei Crashs das gleiche. Alles hammermäßig?
Ich verstehe aktuell die Aufregung überhaupt nicht. Es werden hier Vorkommnisse aus der Android-Welt ohne Überprüfung auf iOS übertragen. Ich kann mir nicht vorstellen, dass die Leute, die sich dort Android vorgenommen haben, nicht auch iOS näher anschauen. Bisher haben die aber noch nichts dazu geschrieben.

Oder irre ich mich da? Das kann ja durchaus sein. Sollte jetzt oder später herauskommen, dass die Software auch unter iOS die gleiche ist oder Ähnliches kann, dann bin ich ganz bei Dir.

Zitat
Unter iOS<5 lief diese Software grundsätzlich. Die gesammelten Logs wurden von iTunes an Apple übertragen, wenn man diesem explizit zugestimmt hat!

Wer sagt das?

Steht hier.

Zitat
Erschwerend kommt hinzu, daß ich den Zustimmungsknopf in iTunes noch nie gesehen habe. Und wenn, mir nicht klar war, daß damit nicht nur iTunes Daten, sonder auch iPhone Daten gemeint sein könnten.

Ich kann mich auch nicht mehr genau erinnern. Da müsste man noch einmal nachforschen.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #52: Dezember 08, 2011, 19:45:24
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #53: Dezember 09, 2011, 16:21:59
Leider versäumt es der Author, seine Quelle zu nennen: Dan Rosenberg hat sein Samsung Epic 4G Touch dazu analysiert. Inwieweit sich das auf andere Geräte bzw. Provider übertragen lässt, sei mal dahingestellt, da es zB bei Samsung wohl die Möglichkeit gibt, CIQ abzustellen (wenn auch versteckt), bei HTC wiederum nicht.

Daraus eine generelle Unbedenklichkeit abzuleiten, halte ich für etwas naiv.
_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #54: Dezember 09, 2011, 18:28:17
Was heisst schon Unbedenklichkeit? Ist ein Handy an sich unbedenklich?

Ich habe ganz einfach die Aufregung nie verstanden. Mein Handy hängt nunmal im Netz des Carriers. Alles was ich mit dem Handy tue, läuft über eben diesen Carrier. Er weiss wo mein Handy ist. Er weiss wann wie wo ich wie mit wem kommuniziere, weil all das ohnehin bei ihm vorbei kommt. Das ist systeminhärent. Um an all diese heiklen Informationen zu kommen, braucht er doch gar keine Software à la Carrier IQ auf meinem Handy. Wie man sich nun darüber aufregen kann, dass sich ein Carrier all diese Daten, die er ohnehin schon weiss (mal abgesehen vom Batterieladezustand, der ja nun so ein heikles Datum auch wieder nicht ist), direkt vom Handy zur Auswertung aufbereiten lässt, ist mir irgendwie schleierhaft.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

Florian

  • Es lebe der König!
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #55: Dezember 09, 2011, 18:54:54
Die Vorwürfe gingen bis hin zum Keylogging.
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #56: Dezember 13, 2011, 15:27:57
Carrier-IQ nennt Details:
http://www.golem.de/1112/88383.html
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #57: Dezember 14, 2011, 09:31:08
Hier die originale Stelleungnahme von Carrier-IQ als PDF.

Gibt es denn jetzt irgendwo handfeste Hinweise, dass diese vorgeworfenen und bestätigten Dinge auch für iOS relevant sind? Das ist doch eine der Hauptfragen für mich, da ich iOS habe.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #58: Dezember 15, 2011, 07:17:28
Die Frage finde ich gerade bei der Bewertung der Situation sehr interessant. Hat keiner zusätzliche Infos bzgl. iOS?
Es bestärkt mich schon in der Annahme, dass hier zwei völlig unterschiedliche Softwaren zugange sind, sonst würden sich die Leute doch nicht nehmen lassen ähnliche Funktionen unter iOS zu demonstrieren/aufzudecken, oder?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Sicherheit von iOS und Android (c't 20/10)
Antwort #59: Dezember 20, 2011, 16:09:29
Das iPhone statt in ein öffentliches auf das eigene WLAN locken, per „VPN-Killer“ VPN abschalten, ein täuschend echtes Zertifikat präsentieren und dann Apple ID + Kennwort und anderes ablauschen. Kein Problem meint Onkel Heinz:
http://www.heise.de/ct/artikel/Die-Hotspot-Falle-1394646.html

Details leider bisher nur in der gedruckten Ausgabe, bzw. gar nicht, da sie erst bekannt werden sollen, wenn Apple ein SicherheitsUpdate liefert.