Forum

Florian

  • Verderbliche Ware!
Sicherheit von iOS und Android (c't 20/10)
September 12, 2010, 17:11:44
In der aktuellen c't gibt es Interessantes zur Smartphone-Sicherheit zu lesen.
Zum einen wie die OSes sich abzusichern bemühen, zum anderen wie Apps mit der Verschlüsselung umgehen.

Kurz gesagt: Perfekt sicher ist nichts. In Panik braucht man noch nicht ausbrechen.

Der Wildwuchs bei Android führt natürlich nicht nur zu mehr Freiheit sondern auch zu weniger Sicherheit. Das OS selbst ist relativ sicher.

Auf dem iPhone pikant: Gerade die berühmten, beliebten Apps von Ebay, Paypal, Facebook, Dropbox und Evernote schlampen bei der Inhaltsverschlüsselung! Keine Angst, Passwörter werden nicht rausgerückt! Aber z.B. Nutzernamen, Email-Adressen oder Auktionsinhalte. Dropbox schießt den Vogel ab und übermittelt im Klartext alles ausser dem Passwort.

Wer kann nun an diese Daten?
Jeder der sich ins WLAN- oder Handynetz einschleichen kann. Selbst SSL-Surfen in einem verschlüsseltes LAN ist nicht 100%-ig sicher falls der Programmierer einer App bei der Zertifkatsüberprüfung geschlampt hat und ein böser Mensch im Netz ist.
Das Handynetz steht laut c't in Gefahr, weil man mittlerweile für kleines Geld Schnüffel-Basisstationen aufstellen und den Datenverkehr darüber umleiten könnte.
Dazu: http://www.heise.de/newsticker/meldung/IMSI-Catcher-fuer-1500-Euro-im-Eigenbau-1048919.html

Da kommt man schon ins Grübeln. Kann nur empfehlen, den Artikel zu lesen.

Tips von c't fürs iPhone gebe ich aber so weiter, weil wichtig:
- Unbedingt Zugriffsschutz aktivieren. Und schaut mal in die Einstellungen/Allgemein/Code-Sperre, seit OS 4 muss man sich nicht mehr mit nur vier Zahlen begnügen.
- Wohl oder übel mobileme abonnieren wegen Fernlöschung (steht so nicht drin, aber…)
- Prozesse im Auge behalten mit Sysstats Monitor
- Über Apps vorher informieren (halt einmal googlen)
- Der Königsweg in fremden WLANs ist nach wie vor eine VPN-Verbindung ins Heimnetz, für Handies wie Klapprechner natürlich

Generell ist die App-Gefahr beim iPhone geringer, wenn man sich denn nur im Appstore bedient. Jailbreaker haben zwei Probleme: Apps werden nicht überprüft und sie müssen immer warten mit den Updates. Das wurde uns allen ja bewusst bei der riesigen PDF-Lücke, die als Jailbreak benutzt wurde.

Das Thema wird sich nicht kleiner werden, da Smarthphones oft eine wahre Schatzkammer an Daten sind. Vielleicht sollte man auch mal in sich gehen und fragen ob man wirklich unterwegs Überweisungen tätigen muss oder dies überhaupt nicht tut und trotzdem den Zugangscode auf dem Handy hat.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #1: September 12, 2010, 19:00:36
Danke für die knackige Zusammenfassung.

Wer kann denn mal erläutern, wie man auf dem iPhone das VPN in das eigene Netzwerk bekommt. Vor allem, wenn die DNS dynamisch ist.

Ich wollte das schon immer, bin mir aber nicht sicher, wie ich das hinkriegen.

Vielleicht macht ja einer ein BHB draus? VPN für iOS ins Heimatnetz? Fände ich super!
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #2: September 12, 2010, 20:44:07
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #3: September 12, 2010, 20:47:11
Ist eigentlich nach den Updates für iTunes und iOS das Loch im Schlüsselbund geschlossen?

Florian

  • Verderbliche Ware!
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #4: September 12, 2010, 21:39:49
Nein. Zumindest schreibt Apple dazu nichts in der Begleitliteratur der Updates. Wobei ich 4.0.1 nicht finden konnte.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #5: September 12, 2010, 21:44:26
VPN für iOS ins Heimatnetz? Fände ich super!

Mein Scherflein fürs potentielle BHB:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperabilitaet/16206.php

Schönen Dank, aber mit Fritz kann ich bei mir nicht dienen. Schade...

Aber soweit ich das verstehe, könnte es mit eine Dienst wie dyndns.org klappen.

Florian

  • Verderbliche Ware!
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #6: September 12, 2010, 21:48:33
Das geht mit sehr vielen Routern, nicht nur Fritzies. Leider kann es aber an mehreren Faktoren liegen, wenn es nicht klappt. So ging/geht? es bei Kabel Deutschland gar nicht.
Ich werde versuche die nächsten Tage einen kleinen Artikel dazu zu schreiben beziehungsweise weiterführende Links gesammelt und geordnet abzulegen. :D
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #7: September 13, 2010, 09:05:18
Aber soweit ich das verstehe, könnte es mit eine Dienst wie dyndns.org klappen.

dyndns dient ja nur dazu, damit das Gerät unterwegs den Weg zu Deinem Heimnetz findet, welches eine ständig wechselnde IP hat. Das kann man ja nicht nur für VPN nutzen und das funktioniert gut und problemlos.
Das hat aber nur nebensächlich mit der eigentlichen VPN-Verbindung zu tun.

Ein allgemeingültiges BHB dafür zu schreiben, ist schwer, weil es nicht "das VPN" an sich gibt.
Zunächst einmal muss man sich für eine VPN-Variante entscheiden und zu Hause einen entsprechenden VPN-Server installieren und zum Laufen bringen. Abhängig von der gewählten Variante muss man dann das Gerät, was sich in der Welt rumtreibt, völlig unterschiedlich einrichten/konfigurieren.
Problem ist halt auch, dass es an VPN-Servern für zu Hause nicht viele gibt, die einfach und/oder kostenlos sind. Oft wird da OpenVPN benutzt, welches das iPhone ohne Cydia aber nicht kann.
Die im iPhone integrierten VPN-Clients können die bekannten Standard-VPNs, die aber die wenigsten Leute privat stehen haben. In den Fritzboxen kann man einen VPN-Server einrichten, aber der hatte zunächst etwas andere Möglichkeiten als das iPhone und so funktionierte das trotz schon einmal gleicher VPN-Methode nicht.
Laut dem Link von radneuerfinder funktioniert es ja mittlerweile, hatten wir ja auch schon hier im Forum, allerdings hatte ich noch nicht die Zeit, das selber auszuprobieren.

Zur Sicherheit:
Wie Florian schon schrieb: Panik ist nicht angebracht. Die gezeigten Methoden (Android-Trojaner, Man in the middle Attacke) gilt für normale Desktop-Macs oder -Rechner genauso.
Gegen Trojaner, die brav nach der Erlaubnis fragen (Zugriff auf SMS-Funktion, Abfrage Admin-Kennwort oder ähnliches) ist kein Kraut gewachsen. Es gibt ja auch Programme, die das wirklich benötigen und man muss eben selber drauf achten, welchem Programm man welche Rechte gibt.
Man-in-the-middle-Attacken sind auch schon seit längerem bekannt, bei mobilen Geräten natürlich etwas einfacher umsetzbar. Hier müssen die Programmierer der Apps selber für Sicherheit sorgen. Überträgt Dropbox eigentlich auf dem Mac auch alles unverschlüsselt?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #8: September 17, 2010, 18:37:41
Puh, Flieger hat recht, dieses BHB muss ich überdenken. Vielleicht nur ein paar Grundlagen…

Überträgt Dropbox eigentlich auf dem Mac auch alles unverschlüsselt?

Tja. Ich habe versucht es herauszufinden. Keine Antwort gefunden. Nur was anderes. Da beschwerte sich Jemand über ihre unsicheren Cookies. Das ist aber zwei Jahre her. Mein Grundvertrauen steigert das trotzdem nicht und die AGBs auch nicht. Und dann noch USA.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #9: September 17, 2010, 23:23:29
Überträgt Dropbox eigentlich auf dem Mac auch alles unverschlüsselt?

Laut eigener Aussage wird Übertragung und Speicherung in der Cloud verschlüsselt:
https://www.dropbox.com/help/27

Siehe auch hier:
http://www.macmacken.com/?s=Dropbox

Florian

  • Verderbliche Ware!
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #10: September 17, 2010, 23:42:26
Laut eigener Aussage wird Übertragung und Speicherung in der Cloud verschlüsselt:
https://www.dropbox.com/help/27

Habe ich auch alles gefunden, aber laut c't stimmt das ja zumindest fürs iPhone nicht. Insofern… und auch zu dieser Info ist im Netz kaum zu finden. Krass. Man denkt immer so etwas haut voll rein in die Szene.

3 Tage Schweigen zur c't bei Dropbox in deren Forum:
http://forums.dropbox.com/topic.php?id=24507
Interessiert wohl echt keine Sau mehr heutzutage?

Ich würde ja verschlüsselte Images hochladen, aber das geht ja dann am iPhone wieder nicht.

Ach so, und die Evernote-App verschlüsselt laut c't die Notizen auch nicht sicher.
« Letzte Änderung: September 17, 2010, 23:46:20 von Florian »
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #11: Dezember 28, 2010, 12:38:23
Apple wird wegen der heimlichen Weitergabe von Nutzerdaten an Werbenetzwerke verklagt:
http://www.golem.de/1012/80356.html

Florian

  • Verderbliche Ware!
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #13: Dezember 28, 2010, 14:05:46
Manchmal zeitigt das US-System auch sinnvolle Klagen. Ich finde es völlig inakzeptabel, was hier passiert. Der schiere Umfang an Schnüffel-Apps ist ja schon beängstigend, man kann sie gar nicht mehr vermeiden, es gehört quasi dazu zur iPhone-Nutzung Daten über sich preiszugeben.

Der oben von mir verlinkte Thread im Dropbox-Forum hat sich entwickelt und der Befund der c't bleibt unwidersprochen, vielmehr offenbart sich m.E. ein unrühmlicher Umgang mit dem Thema von einer Firma, die v.a. auch mit absoluter Sicherheit wirbt. Wer Dropbox auf dem iPhone nutzt, sollte es lesen:
http://forums.dropbox.com/topic.php?id=24507
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re:Sicherheit von iOS und Android (c't 20/10)
Antwort #14: Januar 17, 2011, 17:24:13
"Das Verarbeiten von kritischen Daten am Smartphone ist daher generell betrachtet nicht empfehlenswert." meint:
http://www.a-sit.at/pdfs/Technologiebeobachtung/Studie_IPhone_v1.0.2.pdf