Apfelinsel

iPhone, iPod, iPad, Apple TV, Watch => Thema gestartet von: Florian am September 12, 2010, 17:11:44

Titel: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 12, 2010, 17:11:44
In der aktuellen c't gibt es Interessantes zur Smartphone-Sicherheit zu lesen.
Zum einen wie die OSes sich abzusichern bemühen, zum anderen wie Apps mit der Verschlüsselung umgehen.

Kurz gesagt: Perfekt sicher ist nichts. In Panik braucht man noch nicht ausbrechen.

Der Wildwuchs bei Android führt natürlich nicht nur zu mehr Freiheit sondern auch zu weniger Sicherheit. Das OS selbst ist relativ sicher.

Auf dem iPhone pikant: Gerade die berühmten, beliebten Apps von Ebay, Paypal, Facebook, Dropbox und Evernote schlampen bei der Inhaltsverschlüsselung! Keine Angst, Passwörter werden nicht rausgerückt! Aber z.B. Nutzernamen, Email-Adressen oder Auktionsinhalte. Dropbox schießt den Vogel ab und übermittelt im Klartext alles ausser dem Passwort.

Wer kann nun an diese Daten?
Jeder der sich ins WLAN- oder Handynetz einschleichen kann. Selbst SSL-Surfen in einem verschlüsseltes LAN ist nicht 100%-ig sicher falls der Programmierer einer App bei der Zertifkatsüberprüfung geschlampt hat und ein böser Mensch im Netz ist.
Das Handynetz steht laut c't in Gefahr, weil man mittlerweile für kleines Geld Schnüffel-Basisstationen aufstellen und den Datenverkehr darüber umleiten könnte.
Dazu: http://www.heise.de/newsticker/meldung/IMSI-Catcher-fuer-1500-Euro-im-Eigenbau-1048919.html

Da kommt man schon ins Grübeln. Kann nur empfehlen, den Artikel zu lesen.

Tips von c't fürs iPhone gebe ich aber so weiter, weil wichtig:
- Unbedingt Zugriffsschutz aktivieren. Und schaut mal in die Einstellungen/Allgemein/Code-Sperre, seit OS 4 muss man sich nicht mehr mit nur vier Zahlen begnügen.
- Wohl oder übel mobileme abonnieren wegen Fernlöschung (steht so nicht drin, aber…)
- Prozesse im Auge behalten mit Sysstats Monitor
- Über Apps vorher informieren (halt einmal googlen)
- Der Königsweg in fremden WLANs ist nach wie vor eine VPN-Verbindung ins Heimnetz, für Handies wie Klapprechner natürlich

Generell ist die App-Gefahr beim iPhone geringer, wenn man sich denn nur im Appstore bedient. Jailbreaker haben zwei Probleme: Apps werden nicht überprüft und sie müssen immer warten mit den Updates. Das wurde uns allen ja bewusst bei der riesigen PDF-Lücke, die als Jailbreak benutzt wurde.

Das Thema wird sich nicht kleiner werden, da Smarthphones oft eine wahre Schatzkammer an Daten sind. Vielleicht sollte man auch mal in sich gehen und fragen ob man wirklich unterwegs Überweisungen tätigen muss oder dies überhaupt nicht tut und trotzdem den Zugangscode auf dem Handy hat.
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Thyrfing am September 12, 2010, 19:00:36
Danke für die knackige Zusammenfassung.

Wer kann denn mal erläutern, wie man auf dem iPhone das VPN in das eigene Netzwerk bekommt. Vor allem, wenn die DNS dynamisch ist.

Ich wollte das schon immer, bin mir aber nicht sicher, wie ich das hinkriegen.

Vielleicht macht ja einer ein BHB draus? VPN für iOS ins Heimatnetz? Fände ich super!
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 12, 2010, 20:44:07
VPN für iOS ins Heimatnetz? Fände ich super!

Mein Scherflein fürs potentielle BHB:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperabilitaet/16206.php
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 12, 2010, 20:47:11
Ist eigentlich nach den Updates für iTunes und iOS das Loch im Schlüsselbund (http://www.apfelinsel.de/forum/index.php/topic,4343.0.html) geschlossen?
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 12, 2010, 21:39:49
Nein. Zumindest schreibt Apple dazu nichts in der Begleitliteratur der Updates. Wobei ich 4.0.1 nicht finden konnte.
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Thyrfing am September 12, 2010, 21:44:26
VPN für iOS ins Heimatnetz? Fände ich super!

Mein Scherflein fürs potentielle BHB:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interoperabilitaet/16206.php

Schönen Dank, aber mit Fritz kann ich bei mir nicht dienen. Schade...

Aber soweit ich das verstehe, könnte es mit eine Dienst wie dyndns.org klappen.
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 12, 2010, 21:48:33
Das geht mit sehr vielen Routern, nicht nur Fritzies. Leider kann es aber an mehreren Faktoren liegen, wenn es nicht klappt. So ging/geht? es bei Kabel Deutschland gar nicht.
Ich werde versuche die nächsten Tage einen kleinen Artikel dazu zu schreiben beziehungsweise weiterführende Links gesammelt und geordnet abzulegen. :D
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am September 13, 2010, 09:05:18
Aber soweit ich das verstehe, könnte es mit eine Dienst wie dyndns.org klappen.

dyndns dient ja nur dazu, damit das Gerät unterwegs den Weg zu Deinem Heimnetz findet, welches eine ständig wechselnde IP hat. Das kann man ja nicht nur für VPN nutzen und das funktioniert gut und problemlos.
Das hat aber nur nebensächlich mit der eigentlichen VPN-Verbindung zu tun.

Ein allgemeingültiges BHB dafür zu schreiben, ist schwer, weil es nicht "das VPN" an sich gibt.
Zunächst einmal muss man sich für eine VPN-Variante entscheiden und zu Hause einen entsprechenden VPN-Server installieren und zum Laufen bringen. Abhängig von der gewählten Variante muss man dann das Gerät, was sich in der Welt rumtreibt, völlig unterschiedlich einrichten/konfigurieren.
Problem ist halt auch, dass es an VPN-Servern für zu Hause nicht viele gibt, die einfach und/oder kostenlos sind. Oft wird da OpenVPN benutzt, welches das iPhone ohne Cydia aber nicht kann.
Die im iPhone integrierten VPN-Clients können die bekannten Standard-VPNs, die aber die wenigsten Leute privat stehen haben. In den Fritzboxen kann man einen VPN-Server einrichten, aber der hatte zunächst etwas andere Möglichkeiten als das iPhone und so funktionierte das trotz schon einmal gleicher VPN-Methode nicht.
Laut dem Link von radneuerfinder funktioniert es ja mittlerweile, hatten wir ja auch schon hier im Forum, allerdings hatte ich noch nicht die Zeit, das selber auszuprobieren.

Zur Sicherheit:
Wie Florian schon schrieb: Panik ist nicht angebracht. Die gezeigten Methoden (Android-Trojaner, Man in the middle Attacke) gilt für normale Desktop-Macs oder -Rechner genauso.
Gegen Trojaner, die brav nach der Erlaubnis fragen (Zugriff auf SMS-Funktion, Abfrage Admin-Kennwort oder ähnliches) ist kein Kraut gewachsen. Es gibt ja auch Programme, die das wirklich benötigen und man muss eben selber drauf achten, welchem Programm man welche Rechte gibt.
Man-in-the-middle-Attacken sind auch schon seit längerem bekannt, bei mobilen Geräten natürlich etwas einfacher umsetzbar. Hier müssen die Programmierer der Apps selber für Sicherheit sorgen. Überträgt Dropbox eigentlich auf dem Mac auch alles unverschlüsselt?
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 17, 2010, 18:37:41
Puh, Flieger hat recht, dieses BHB muss ich überdenken. Vielleicht nur ein paar Grundlagen…

Überträgt Dropbox eigentlich auf dem Mac auch alles unverschlüsselt?

Tja. Ich habe versucht es herauszufinden. Keine Antwort gefunden. Nur was anderes. Da beschwerte sich Jemand über ihre unsicheren Cookies. Das ist aber zwei Jahre her. Mein Grundvertrauen steigert das trotzdem nicht und die AGBs auch nicht. Und dann noch USA.
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 17, 2010, 23:23:29
Überträgt Dropbox eigentlich auf dem Mac auch alles unverschlüsselt?

Laut eigener Aussage wird Übertragung und Speicherung in der Cloud verschlüsselt:
https://www.dropbox.com/help/27

Siehe auch hier:
http://www.macmacken.com/?s=Dropbox
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 17, 2010, 23:42:26
Laut eigener Aussage wird Übertragung und Speicherung in der Cloud verschlüsselt:
https://www.dropbox.com/help/27

Habe ich auch alles gefunden, aber laut c't stimmt das ja zumindest fürs iPhone nicht. Insofern… und auch zu dieser Info ist im Netz kaum zu finden. Krass. Man denkt immer so etwas haut voll rein in die Szene.

3 Tage Schweigen zur c't bei Dropbox in deren Forum:
http://forums.dropbox.com/topic.php?id=24507
Interessiert wohl echt keine Sau mehr heutzutage?

Ich würde ja verschlüsselte Images hochladen, aber das geht ja dann am iPhone wieder nicht.

Ach so, und die Evernote-App verschlüsselt laut c't die Notizen auch nicht sicher.
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 28, 2010, 12:38:23
Apple wird wegen der heimlichen Weitergabe von Nutzerdaten an Werbenetzwerke verklagt:
http://www.golem.de/1012/80356.html
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 28, 2010, 12:46:54
http://www.macnotes.de/2010/12/27/27c3-iphone-browser-wird-sicherheitsalptraum/
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Dezember 28, 2010, 14:05:46
Manchmal zeitigt das US-System auch sinnvolle Klagen. Ich finde es völlig inakzeptabel, was hier passiert. Der schiere Umfang an Schnüffel-Apps ist ja schon beängstigend, man kann sie gar nicht mehr vermeiden, es gehört quasi dazu zur iPhone-Nutzung Daten über sich preiszugeben.

Der oben von mir verlinkte Thread im Dropbox-Forum hat sich entwickelt und der Befund der c't bleibt unwidersprochen, vielmehr offenbart sich m.E. ein unrühmlicher Umgang mit dem Thema von einer Firma, die v.a. auch mit absoluter Sicherheit wirbt. Wer Dropbox auf dem iPhone nutzt, sollte es lesen:
http://forums.dropbox.com/topic.php?id=24507
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Januar 17, 2011, 17:24:13
"Das Verarbeiten von kritischen Daten am Smartphone ist daher generell betrachtet nicht empfehlenswert." meint:
http://www.a-sit.at/pdfs/Technologiebeobachtung/Studie_IPhone_v1.0.2.pdf
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Februar 02, 2011, 09:55:34
Offiziell zugelassene Apps aus Apples App Store griffen die Gerätenummer häufiger unautorisiert ab als die ungetesteten Apps aus den Cydia-Depots. Das ist umso befremdlicher, da Apple eigentlich sämtliche Apps überprüft, bevor sie in den App Store kommen:
http://www.heise.de/tr/artikel/Neugierige-Apps-1181223.html
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Februar 02, 2011, 13:16:13
Wieso ist das befremdlich? Das Apple sich einen Dreck darum kümmert, was heimtelefoniert wird, wissen wir seit Tag 1.  >:(
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Februar 06, 2011, 21:19:52
Was ich gar nicht wusste: Neben der ja leider öfters schon geknackten Whole Disk Encyrption führte Apple mit iOS 4.0 einen neuen Mechanismus ein: einen sog. „Datenschutz“.
http://support.apple.com/kb/HT4175
Der schützt nur gewisse Applikationen mit einer Extraschicht…

iPhone 4 hat es immer an Bord.
3GS-Nutzer müssen leider einen Restore durchführen, da das gesamte Dateisystem neu aufgesetzt wird. Ob ihr es schon aktiviert habt, könnt ihr in den Einstellungen sehen. Ist es nicht aktiviert, steht da unten auch nichts.
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Februar 07, 2011, 17:59:17
Android-Apps können unter gewissen Bedingungen ohne Zustimmung oder Zutun des Besitzers installiert und ausgeführt werden:
http://www.heise.de/newsticker/meldung/Android-Market-Risiko-durch-Ferninstallation-Update-1184339.html
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am März 07, 2011, 19:20:04
Und auch wieder gelöscht…

Nach dem Trojaner-Fiasko im Android-Store - sehr verschärft durch die vielen nicht aktuellen Installationen, denn bei aktuellem Android ist die Lücke schon geschlossen - hat Google per Fernzugriff diese Schadprogramme ohne Nachfrage beim Benutzer wieder entfernt. Backdoors wie diese laden natürlich auch Verbrecher ein.
http://www.heise.de/newsticker/meldung/Google-entfernt-Android-Schadsoftware-aus-der-Ferne-1202846.html

Nun las ich u.a. auf http://www.zeit.de/digital/mobil/2011-03/Google-Android-Smartphone
das auch iOS solche Hintertürchen hätte.
Ich dachte, dies ist bisher nur für Provider-Updates bekannt.  Weiß man mehr?
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 07, 2011, 20:44:14
Ein Kill Switch (http://www.fscklog.com/2008/08/apples-vermutli.html), zumindest für Apps, hat der Chef bereits vor Jahren höchstpersönlich bestätigt (http://macfidelity.de/2008/08/11/steve-jobs-uber-den-appstore/).
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 07, 2011, 21:12:35
'Home to the only complete suite of forensic tools for iPhone, iPad, and other iDevices':
http://www.iphoneinsecurity.com/

Aus den FAQ zur 'Zdziarski's Forensic Method':
"This method invokes the device’s hardware encryption chip to automatically decrypt the disk image prior to transfering it to the desktop. While the data is stored encrypted on the iPhone, you get the decrypted image on your desktop machine.":
http://www.youtube.com/watch?v=kHdNoKIZUCw
Titel: Re:Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am März 08, 2011, 08:12:44
Als das mit dem KillSwitch in iOS bekannt wurde, gab es doch die zu erwartende Empörungswelle gegen Apple im Netz. Böses Apple!
Dass es im Kindle und Android gleiches gibt, war dann nicht mehr so interessant. Und dass er bisher nur von Amazon und Google tatsächlich benutzt wurde, ist noch weniger interessant...
Sich über Apple aufzuregen ist eben hipper und bringt mehr Klicks.

Mit einem Jailbreak kann man den KillSwitch von Apple auch deaktivieren.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am April 20, 2011, 20:07:42
Schon immer habe ich mein iPhone als "freiwillige elektronische Fussfessel" bezeichnet. Ein Bewegungsverlauf wird zeitlich unbegrenzt auf dem iPhone gespeichert:
http://www.macnews.de/iphone/iphone-speichert-bewegungsprofil-169494
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: elafonisi am April 21, 2011, 11:30:13
Schon immer habe ich mein iPhone als "freiwillige elektronische Fussfessel" bezeichnet. Ein Bewegungsverlauf wird zeitlich unbegrenzt auf dem iPhone gespeichert:
http://www.macnews.de/iphone/iphone-speichert-bewegungsprofil-169494

Wo bleibt der Aufschrei???  ;)
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am April 21, 2011, 19:07:32
Schon immer habe ich mein iPhone als "freiwillige elektronische Fussfessel" bezeichnet. Ein Bewegungsverlauf wird zeitlich unbegrenzt auf dem iPhone gespeichert:
http://www.macnews.de/iphone/iphone-speichert-bewegungsprofil-169494

Wo bleibt der Aufschrei???  ;)

Hier:
http://www.apfelinsel.de/forum/index.php/topic,4905.msg0.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am August 11, 2011, 22:31:20
Ich packs mal hier dazu.

Offenes GPRS ist so unsicher wie ein offenes WLAN:
http://www.golem.de/print.php?a=85654
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am August 21, 2011, 17:08:20
In iOS 5 soll die eindeutige Hardware-IdentifikationsNummer (UDID) wegfallen:
http://www.macnews.de/iphone/ios-5-schafft-gerate-ids-ab-239331


Präzisierung:
Die UDID steht für AppsAnbieter nicht mehr zur Verfügung:
http://techcrunch.com/2011/08/19/apple-ios-5-phasing-out-udid/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am August 21, 2011, 19:09:36
Macnews wieder.  :-X
Ja, die UDID fällt nicht weg, sondern Apple verunmöglicht den Entwicklern sie abzugreifen.
Ob Apple selbst sie weiterhin (für iAd z.B.) nutzt, ist noch unbekannt, und eigentlich das Interessanteste an der ganzen Meldung, was Macnews leider unterschlägt.

Und übrigens ist es auch nicht so, dass es keine anderen Methoden zur Identifizierung gäbe.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am August 21, 2011, 19:58:58
Soweit ich weiß, fällt der Zugriff auf diese ID aktuell auch noch nicht weg, sondern die entsprechende Methode ist als deprecated markiert. D.h. die funktioniert noch völlig normal, sie kann nur in einer zukünftigen iOS-Version verschwinden.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 16, 2011, 16:50:14
Im Oktober wurden 808 neue Android-Schädlinge entdeckt:
http://winfuture.de/news,66623.html

Die Schädlinge verteilen sich z. Zt. wie folgt auf die Plattformen:

- Windows: zu den Millionen Windows Schädlingen kommen jedes Jahr mehrere Millionen Schädlinge hinzu
- Android: 1.916
- J2ME: 1.610
- Linux: 863  (2005)
- Symbian: ca. 170
- OS X: ca. 12
- iOS: 0
- Blackberry: 0?
- Windows 7 mobile: 0?
- Windows CE: ?

Quelle: der verlinkte Artikel, Internet via mein Gedächtnis, Update: Zahl für Linux aus Florians Link
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 16, 2011, 17:43:36
In Bezug auf Android und iOS hast Du recht. Das ist natürlich der Preis für den Nicht-Appstore-Zwang und mittlerweile ist Android ja auch die verbreiteste Plattform. Umso schwerwiegender, dass viele Android-Benutzer aufgrund der Politik der Handyhersteller mit veralteten Systemen unterwegs sind.

(Für Linux weiß ich nur, dass es schon vor Jahren viele Viren gab: http://en.wikipedia.org/wiki/Linux_malware)
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Patrick am November 18, 2011, 10:34:32
Gestern bin ich durch codeproject.com über eine erschreckende Sache gestolpert, die zwar scheinbar nur den amerikanischen Markt betrifft, dafür aber nicht nur auf Android beschränkt ist, sondern auch für Nokias, Blackberries, etc gilt.

Diverse Netzbetreiber wie Verizon oder Sprint installieren wohl standardmäßig ein App zur Qualitätsverbesserung ihrer Netze namens Carrier IQ. Allerdings entpuppt sich das Programm als Rootkit, das unter der Haube den Providern die totale Überwachung der Geräte erlaubt, bis hin zum Keylogging. Teilweise werden die gesammelten Daten auch noch weiterverkauft. Treffenderweise titelt dann das xda-developers-Portal: The Rootkit of All Evil - CIQ (http://www.xda-developers.com/android/the-rootkit-of-all-evil-ciq/). Weitere Informationen findet man dazu bei TrevE (http://androidsecuritytest.com/features/logs-and-services/loggers/carrieriq/), der Entwickler, der die meisten dieser Informationen zusammengetragen hat.
Ein Entfernen oder Deaktivieren dieses Programms ist für normale Nutzer nicht möglich.

Dagegen ist der Bundestrojaner wohl Spielzeug...
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 18, 2011, 14:28:44
Wahnsinn. Danke für die Information! 
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 28, 2011, 10:54:05
Mobilemonitor - ein komfortabler Trojaner für iOS, 20 $ + Jailbreak:
http://www.golem.de/1111/88026.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 28, 2011, 18:49:13
Na gut, mit Jailbreak. Das man dann sehr einfach so was programmieren kann und es dann Eltern zur Überwachung der Kinder anbietet, ist mal so weit keine Überraschung und eigentlich auch nicht schlimm - müssen die Familien entscheiden. Eigentlich bietet Apple ja schon weitreichende Überwachung der Sprösslinge an.

Wer sein iOS-Gerät ausleiht oder nach zwischenzeitigem Verlust wieder bekommt, oder ein Gebrauchtes kauft. sollte ohnehin zurücksetzen und alles neu aufspielen. Würde ich jedenfalls so handhaben. Genauso bei Macs & PCs.

Aber danke für den Link, schon interessant! 
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 28, 2011, 20:12:00
Kann man eigentlich auch den Jailbreak unsichtbar machen?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am November 29, 2011, 09:44:44
Kann man eigentlich auch den Jailbreak unsichtbar machen?

Ja, kein Problem.
Man sieht einen Jailbreak schließlich nur direkt an einem geänderten Bootlogo und dem installierten Cydia. Stellt man ein, dass man das normale Bootlogo hat und löscht man Cydia, kann man direkt keinen Unterschied sehen.

Aber ein einfaches Wiederherstellen in iTunes entfernt jeden Jailbreak.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 30, 2011, 22:38:10
Ein Entfernen oder Deaktivieren dieses Programms ist für normale Nutzer nicht möglich.

Für Android gibt's jetzt eine Anleitung:
http://lifehacker.com/5863895/carrier-iq-how-the-widespread-rootkit-can-track-everything-on-your-phone-and-how-to-remove-it
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Dezember 01, 2011, 23:54:40
Auf den iPhones und iPads war/ist dieses Rootkit Carrier IQ ebenfalls drauf.
Mit iOS 5 habe man auf den „meisten Geräten“ die Software entfernt. Die gesammelten Informationen seien selbstverständlich unkritisch gewesen und überhaupt wolle Apple nur Opt-Ins beim Datensammeln, also den Nutzer fragen.
http://9to5mac.com/2011/12/01/apple-confirms-carrier-iq-in-older-ios-plans-to-remove-it-in-future-update/

Ich habe jetzt echt langsam die Schnauze voll. Apps, die Daten sammeln und mit Werbung nerven, Provider, die übelste Überwachungs-Malware aufspielen und skandalöse Verträge verkaufen, aber keinen Support bieten. Das Internet ist großteils auch nur noch Links ködern und Daten sammeln, zugekleistert mit Werbung. Diese ganze App-isierung, um es mal so zu nennen, geht mir gegen den Strich.

Das ist der Wilde Westen. Der Sheriff, der Apple vorgibt zu sein, ist selbst ein Bandit.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 02, 2011, 09:30:30
Hammer!

 if you want to disable Carrier IQ on your iOS 5 device, turning off “Diagnostics and Usage” in Settings appears to be enough.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Dezember 02, 2011, 10:27:10
Hammer!

Inwiefern?
Ich habe mal bei unserem iPad nachgeschaut und das war abgeschaltet. Ich kann mich allerdings daran erinnern, dass bei der Installation von iOS 5 ich direkt am Anfang ein paar Fragen beantworten musste. Unter anderem auch zu "Diagnose und Benutzung", bei der darauf hingewiesen wurde, dass dann Daten übertragen werden. Die Frage hatte ich direkt mit "Nein" beantwortet. So wie ich das verstehe ist es bei iOS 5 so, dass jeder gefragt wird/wurde, ob das eingeschaltet werden soll. Und das man nachträglich über die erwähnte Einstellung das An- und Abschalten kann. Also weniger heimlich.

Mich würde aber interessieren, wie das vor iOS 5 war. In meinem iPhone 3G finde ich nichts zu Diagnose und Benutzung.

Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Dezember 02, 2011, 12:39:28
Genau, unter iOS 4 ist auch nichts dergleichen.

Es wurde also mit iOS 5 diese Einstellung geschaffen und auch dieses Carrier IQ mehr oder weniger entfernt. ??? Man nutzt also wohl ein anderes Rootkit… inwiefern wir hierzulande betroffen sind oder waren, ist dann die nächste Frage. Für mich aber nachrangig. Auch wenn Apple nur harmlose Daten sammelt, haben sie doch eine wirklich üble Software genutzt - oder den Providern dies erlaubt. Die kann eben noch viel mehr.

Würde Apple oder die Provider schreiben: „Erlauben sie die Übermittlung statistischer, anonymisierter Analysedaten? Dazu wird eine Software installiert, die auch zur Totalüberwachung genutzt werden kann, inklusive aller Eingaben, etwa von Passwörtern. Diese Funktionen nutzen wir aber nicht, versprochen!“ wäre der Sachverhalt treffend dargestellt.

Apples Richtlinien bzgl. Datenübertragungen unter iOS sind ja sowieso äußerst fragwürdig. Heimtelefonierende Apps sind ja der Normalfall!

Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 02, 2011, 20:48:29
Hammer!

Inwiefern?

Hammer, daß Apple diese Software nutzt/zulässt und keine eigene. Egal welche Daten wirklich ausgewertet werden und wurden - siehe Florian.

Hammer, daß es jahrelang heimlich geschah.

Hammer, wieso schreiten Behörden wegen vieler Kleinigkeiten ein - zuviel Dreck hinter der Gastroküche, falsche Steckdosen, Falschparken, etc. Sicher auch irgendwo sinnvoll, mir geht es hier um die Verhältnissmöglichkeit. Wieso werden nicht einfach alle Geräte mit illegaler Schnüffelsoftware in den Läden beschlagnahmt?  Es müssten nur bestehende Gesetze angewendet werden. (Noch ein Beispiel: Ich habe es so gelernt, man darf nicht mit Hilfe eines Periskops Fotos über eine Hecke auf Privatgrund machen - der Laden, der das systematisch in ganz Deutschland macht, bleibt unbehelligt.) Würden diese Regeln durchgesetzt, würde CIQ schneller von den Geräte verschwinden als wir schauen könnten. Stattdessen fragen Behörden lauwarm "könnte es sein, daß sie eventuell ein Verbrechen begangen haben? Wir werden das auf Grundlage ihrer Aussagen prüfen und dann eine nicht rechtsverbindliche Empfehlung aussprechen" (http://www.appleinsider.com/articles/11/12/02/german_regulators_inquire_about_apples_use_of_carrier_iq.html).
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Dezember 02, 2011, 22:42:49
radneuerfinder schreibt mir aus der Seele.

Es wird immer vom rechtsfreien Raum gefaselt, wenn Bürger sich nicht überwachen lassen wollen. Den Konzernen dagegen, wo alle Missetaten klar zu erkennen sind, lässt man weitestgehend freie Hand. Klar, unsere Politiker und Juristen haben ja auch zu großen Teilen null Ahnung, was da eigentlich so vor sich geht, aber nicht mal bei offensichtlichsten Dingen wird Irgendjemand aktiv!   
Monopolbildungen, Ausnutzung der Marktmacht, User-Bespitzelung, Daten-GAU, Verstösse gegen geltendes Recht: Wenn überhaupt mal was geahndet wird, dann nach vielen Jahren mit für die Firmen lächerlichen Beträgen. Oft wird erstmal verhandelt, die Firma möge doch bitte ihr rechtswidriges Verhalten einstellen.

Zahnlos, uninteressiert, überfordert. So kommen mir die Behörden hier vor.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Dezember 03, 2011, 08:06:16
Hammer, daß Apple diese Software nutzt/zulässt und keine eigene. Egal welche Daten wirklich ausgewertet werden und wurden - siehe Florian.

Hammer, daß es jahrelang heimlich geschah.

Dann hatte ich das doch richtig verstanden.

Aber das stimmt doch nach aktuellen Informationen alles gar nicht.

Beim iPhone:
Dort war und ist eine Software installiert, die von der Firma Carrier IQ stammt und Logs von abgestürzten Programmen und Prozessen sammelt.
Unter iOS<5 lief diese Software grundsätzlich. Die gesammelten Logs wurden von iTunes an Apple übertragen, wenn man diesem explizit zugestimmt hat!
Unter iOS 5 muss man explizit zustimmen, damit die Software überhaupt läuft und die Daten direkt vom Gerät an Apple sendet. Man kann sogar direkt am gerät einsehen, was für Daten gesammelt wurden. In Zukunft soll nicht mehr eine Software der Firma Carrier IQ verwendet werden. Da hat Apple dann wahrscheinlich was eigenes.
In beiden Fällen hat die Software mit der unter Android entdeckten genau eines gemeinsam: Der Hersteller ist der gleiche!. Weder Funktionsumfang, noch eingesetzte Methoden, noch Empfänger sind identisch, ähnlich oder vergleichbar.

Also nix mit heimlich und schon gar nicht etwas mit Ausspionieren des Benutzers. Irre ich mich oder gibt es neue Informationen?

Bei Android und einigen anderen:
Es ist auf einigen Geräten eine Software der Firma Carrier IQ gefunden worden, die versteckt und ohne Benutzerzustimmung Daten sammelt und überträgt. Dabei können auch Tastatureingaben und angezeigte Daten übertragen werden. Also von der Funktionalität etwas völlig anderes.
Entdeckt wurde es auf von amerikanischen Providern gebrandeten Geräten (also Einbau vom Provider) und in geringem Maße auf einigen Geräten eines Herstellers (also Einbau durch den Hersteller).

Irre ich mich oder gibt es neue Informationen?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: warlord am Dezember 03, 2011, 09:43:20
Es wird immer vom rechtsfreien Raum gefaselt, wenn Bürger sich nicht überwachen lassen wollen. Den Konzernen dagegen, wo alle Missetaten klar zu erkennen sind, lässt man weitestgehend freie Hand.

Das ist IMO grundsätzlich auch richtig so. Staatlicher Überwachung kann sich keiner entziehen. Den "Überwachungen" durch Private hingegen schon. Zumindest solange Marktkräfte spielen. Aufgabe des Staates kann es IMO nur sein, sicherzustellen, dass die Marktkräfte spielen. Auch das ist ja wieder staatliche Überwachung. Aber immerhin eine aufs Nötigste reduzierte. Jedes Mehr ist IMO der Versuch, den Teufel mit dem Beelzebub austreiben zu wollen. Zumal ich staatliche Überwachung in ihren Auswirkungen auf das Individuum für weitaus gefährlicher halte, da sie sich für ein weitaus grösseres Spektrum der Persönlichkeit interessiert, als die "Überwachung" durch Firmen, die sich weitestgehend auf kommerzielle Interessen beschränken dürfte.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Dezember 03, 2011, 15:15:41
Mir ging es um etwas anderes, war wohl missverständlich.

Man kann nicht einerseits ständig fälschlich (!) vom rechtsfreien Raum faseln, wenn es um die kleinen und großen Verfehlungen von Bürgern geht, aber gleichzeitig die Vergehen der Konzerne tatsächlich weitgehend ignorieren.

Gut, der bayerische Datenschutzbeauftragte hat ja jetzt mal Apple um Stellungnahme gebeten.  ::)




 
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Dezember 03, 2011, 15:30:06
Gut, der bayerische Datenschutzbeauftragte hat ja jetzt mal Apple um Stellungnahme gebeten.  ::)

Und was soll Apple da antworten? "Ja, wir haben Daten über Funkzellenqualitäten und abgestürzte Programme anonymisiert empfangen und gespeichert, wenn der Benutzer es explizit erlaubt hat." ?

Wurden denn auch Stellungnahmen der Firmen erbeten, die wirklich heimlich und versteckt beliebige Daten erheben konnten? Vermutlich nicht, geht ja nicht um Apple.  ::)
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Dezember 03, 2011, 15:44:42
Ganz genau. Darum mein Smilie.

Außerdem hat Apple ja schon Stellung genommen.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 04, 2011, 14:22:02
Ok, Wenn ich Glück habe, dann hat Apple nur harmlose Daten gesammelt. Aber so genau ist das ja noch nicht bekannt.
Es wurde eine Software verwendet, die Patrick weiter oben so charakterisiert hat: "Dagegen ist der Bundestrojaner wohl Spielzeug..." Apple hat laut eigener Aussage aber nur harmloses damit gemacht. Aus der Tatsache, daß CIQ auf iOS erst jetzt bekannt wurde, schließe ich, daß die Software ebenso wie auf Android versteckt wurde. Finde ich in Summe immer noch hammermäßig. Ich möchte damit gar nicht bestreiten, daß Apple relativ zu Android viel besser dasteht. Aber eben nur relativ.

Unter iOS<5 lief diese Software grundsätzlich. Die gesammelten Logs wurden von iTunes an Apple übertragen, wenn man diesem explizit zugestimmt hat!

Wer sagt das? Erschwerend kommt hinzu, daß ich den Zustimmungsknopf in iTunes noch nie gesehen habe. Und wenn, mir nicht klar war, daß damit nicht nur iTunes Daten, sonder auch iPhone Daten gemeint sein könnten.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Dezember 05, 2011, 08:55:51
Ok, Wenn ich Glück habe, dann hat Apple nur harmlose Daten gesammelt. Aber so genau ist das ja noch nicht bekannt.
Es wurde eine Software verwendet, die Patrick weiter oben so charakterisiert hat: "Dagegen ist der Bundestrojaner wohl Spielzeug..."

Das entspricht nicht den aktuellen Informationen. Patrick bezog sich auf eine Software, die bisher nur(!) unter Android entdeckt wurde. Bisher habe ich noch keine Information dazu gelesen, dass die gleiche Software unter iOS läuft!
Die Software hat mit der unter Android entdeckten genau eines gemeinsam: Der Hersteller ist der gleiche!. Weder Funktionsumfang, noch eingesetzte Methoden, noch Empfänger sind identisch, ähnlich oder vergleichbar.
Oder gibt es irgendwo schon neuere andere Informationen?

Zitat
Apple hat laut eigener Aussage aber nur harmloses damit gemacht.

Das stimmt so nicht. Apple hat geschrieben, dass sie nur "harmloses" machen. Deine Aussage impliziert, dass Apple zugegeben hätte, dass die Software wie unter Android mehr kann. Dafür gibt es aktuell keine Hinweise.

Zitat
Aus der Tatsache, daß CIQ auf iOS erst jetzt bekannt wurde, schließe ich, daß die Software ebenso wie auf Android versteckt wurde.

Unter Android wurden alle GUI-Menüs und die Konfigurationsmöglichkeiten entfernt, damit man das Programm nicht sieht und weder abschalten noch konfigurieren kann. Es verbindet sich ohne Rückfrage an den Benutzer mit dem Steuerungsserver.

Zitat
Finde ich in Summe immer noch hammermäßig.

Sorry, die aktuellen Erkenntnisse finde ich nicht hammermäßig. Aktueller Stand ist: Das Gerät (oder früher iTunes) verschickt Crashreports nach Nachfrage beim User an Apple. Woran erinnert mich das? Ach ja, auch unter OS X kann man bei Abstürzen den Crashreport an Apple senden. Oder bei Abstürzen von FF kann man den Report an Mozilla senden. Auch Windows macht bei Crashs das gleiche. Alles hammermäßig?
Ich verstehe aktuell die Aufregung überhaupt nicht. Es werden hier Vorkommnisse aus der Android-Welt ohne Überprüfung auf iOS übertragen. Ich kann mir nicht vorstellen, dass die Leute, die sich dort Android vorgenommen haben, nicht auch iOS näher anschauen. Bisher haben die aber noch nichts dazu geschrieben.

Oder irre ich mich da? Das kann ja durchaus sein. Sollte jetzt oder später herauskommen, dass die Software auch unter iOS die gleiche ist oder Ähnliches kann, dann bin ich ganz bei Dir.

Zitat
Unter iOS<5 lief diese Software grundsätzlich. Die gesammelten Logs wurden von iTunes an Apple übertragen, wenn man diesem explizit zugestimmt hat!

Wer sagt das?

Steht hier (http://www.heise.de/newsticker/meldung/Apple-will-Carrier-IQ-Software-komplett-entfernen-1388837.html).

Zitat
Erschwerend kommt hinzu, daß ich den Zustimmungsknopf in iTunes noch nie gesehen habe. Und wenn, mir nicht klar war, daß damit nicht nur iTunes Daten, sonder auch iPhone Daten gemeint sein könnten.

Ich kann mich auch nicht mehr genau erinnern. Da müsste man noch einmal nachforschen.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: warlord am Dezember 08, 2011, 19:45:24
Abregung: http://www.nzz.ch/nachrichten/digital/paranoia_und_ignoranz_1.13557178.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Patrick am Dezember 09, 2011, 16:21:59
Leider versäumt es der Author, seine Quelle zu nennen: Dan Rosenberg (http://vulnfactory.org/blog/2011/12/05/carrieriq-the-real-story/) hat sein Samsung Epic 4G Touch dazu analysiert. Inwieweit sich das auf andere Geräte bzw. Provider übertragen lässt, sei mal dahingestellt, da es zB bei Samsung wohl die Möglichkeit gibt, CIQ abzustellen (wenn auch versteckt), bei HTC wiederum nicht.

Daraus eine generelle Unbedenklichkeit abzuleiten, halte ich für etwas naiv.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: warlord am Dezember 09, 2011, 18:28:17
Was heisst schon Unbedenklichkeit? Ist ein Handy an sich unbedenklich?

Ich habe ganz einfach die Aufregung nie verstanden. Mein Handy hängt nunmal im Netz des Carriers. Alles was ich mit dem Handy tue, läuft über eben diesen Carrier. Er weiss wo mein Handy ist. Er weiss wann wie wo ich wie mit wem kommuniziere, weil all das ohnehin bei ihm vorbei kommt. Das ist systeminhärent. Um an all diese heiklen Informationen zu kommen, braucht er doch gar keine Software à la Carrier IQ auf meinem Handy. Wie man sich nun darüber aufregen kann, dass sich ein Carrier all diese Daten, die er ohnehin schon weiss (mal abgesehen vom Batterieladezustand, der ja nun so ein heikles Datum auch wieder nicht ist), direkt vom Handy zur Auswertung aufbereiten lässt, ist mir irgendwie schleierhaft.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Dezember 09, 2011, 18:54:54
Die Vorwürfe gingen bis hin zum Keylogging.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 13, 2011, 15:27:57
Carrier-IQ nennt Details:
http://www.golem.de/1112/88383.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Dezember 14, 2011, 09:31:08
Hier die originale Stelleungnahme von Carrier-IQ als PDF.

Gibt es denn jetzt irgendwo handfeste Hinweise, dass diese vorgeworfenen und bestätigten Dinge auch für iOS relevant sind? Das ist doch eine der Hauptfragen für mich, da ich iOS habe.

Edit: Das verlinkte PDF gibt es nicht mehr an der Originalstelle.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Dezember 15, 2011, 07:17:28
Die Frage finde ich gerade bei der Bewertung der Situation sehr interessant. Hat keiner zusätzliche Infos bzgl. iOS?
Es bestärkt mich schon in der Annahme, dass hier zwei völlig unterschiedliche Softwaren zugange sind, sonst würden sich die Leute doch nicht nehmen lassen ähnliche Funktionen unter iOS zu demonstrieren/aufzudecken, oder?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 20, 2011, 16:09:29
Das iPhone statt in ein öffentliches auf das eigene WLAN locken, per „VPN-Killer“ VPN abschalten, ein täuschend echtes Zertifikat präsentieren und dann Apple ID + Kennwort und anderes ablauschen. Kein Problem meint Onkel Heinz:
http://www.heise.de/ct/artikel/Die-Hotspot-Falle-1394646.html

Details leider bisher nur in der gedruckten Ausgabe, bzw. gar nicht, da sie erst bekannt werden sollen, wenn Apple ein SicherheitsUpdate liefert.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Dezember 21, 2011, 08:20:03
Da bin ich mal gespannt auf den Artikel am Samstag.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 21, 2011, 08:31:44
Der Artikel ist aus Heft 1/2012, das gibt's aber bereits seit Mo zu kaufen. (S. 87 und umliegende)
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Dezember 21, 2011, 08:58:30
Ups, dann werde ich mir den Artikel gleich mal raussuchen. Danke.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Januar 02, 2012, 07:48:25
Unter iOS<5 lief diese Software grundsätzlich. Die gesammelten Logs wurden von iTunes an Apple übertragen, wenn man diesem explizit zugestimmt hat!

Wer sagt das? Erschwerend kommt hinzu, daß ich den Zustimmungsknopf in iTunes noch nie gesehen habe. Und wenn, mir nicht klar war, daß damit nicht nur iTunes Daten, sonder auch iPhone Daten gemeint sein könnten.

Ich habe gestern mein altes iPhone 3G mit iOS 4.2.1 auf einem dafür noch nie verwendeten Mac eingerichtet. Und da kam in iTunes bei der ersten Synchronisierung ein Popup-Fenster mit der Frage, ob iTunes Informationen zur iPhone-Nutzung an Apple regelmäßig übertragen darf/soll. Man musste die Frage beantworten, standardmäßig war die Option "Nicht noch einmal fragen" aktiviert.

Nachdem der Hype um Carrier-IQ jetzt abgeebbt ist: Gibt es denn mittlerweile irgendwo handfeste Hinweise, dass diese vorgeworfenen und bestätigten Dinge auch für iOS relevant sind? Oder wurde hier nur eine Entdeckung auf anderen Systemen 1:1 auf iOS projiziert?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Januar 02, 2012, 12:13:14
Das scheint keiner zu wissen, bzw. da scheint nix greifbares zu sein. Alles Spekulation. Was ich gerne tue. ;D

Wenn ich mein nicht vorhandenes Wissen über Softwareprogrammierung zusammen nehme, dann ist es gut möglich, daß Carrier IQ auf Android und iOS die gleiche Code Basis haben. Die von Apple nicht gewünschten Programmbestandteile wurden nicht aktiviert. Ich halte es für wahrscheinlich, daß sie aus Kostengründen und CodeZeilenSparsamkeitsgründen gar nicht erst auf iOS portiert wurden. Aber man weiß ja nie. Siehe Bundestrojaner. Kritisches Nachschauen ist auf jeden Fall angebracht.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Januar 02, 2012, 13:41:01
Wenn ich mein nicht vorhandenes Wissen über Softwareprogrammierung zusammen nehme, dann ist es gut möglich, daß Carrier IQ auf Android und iOS die gleiche Code Basis haben.

In gewissem Rahmen sicherlich. Nach dem MVC-Prinzip kann die eigentliche Arbeit eines Programmes (Model) von den Teilen, die sich um die Darstellung (View) und Kommunikation (Control) mittels des UI kümmern, getrennt werden, um eine bessere Wiederverwendbarkeit zu erleichtern. In solchen Fällen müssen nur View und Controller an ein anderes System angepasst werden.
Die auch öffentlich bekannten und nicht beanstandeten Funktionen innerhalb von iOS (Sammeln von Crashlogs etc.) kann man wohl leicht übergreifend verwenden. Bei Android ging es aber eben nicht um diese Teile, sondern um diejenigen, die speziell auf bestimmte APIs von Android zugegriffen haben (UI). Also der Teil, den man bei jedem System speziell schreiben muss und nicht direkt übertragbar ist.

Zitat
Kritisches Nachschauen ist auf jeden Fall angebracht.

Auf jeden Fall! Deshalb wäre ich ja an Informationen bezüglich iOS sehr interessiert. Die Leute, die das bei Android entdeckt haben, haben auch Symbian untersucht (und gefunden). Daher vermute ich schon, dass die iOS nicht völlig aussen vor gelassen haben.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 05, 2012, 14:52:22
Bug in iOS 5: Fummelt man gezielt am Photo-Datum herum, sind im Lock-Screen ohne Passworteingabe alle Photos sichtbar: http://www.zdnet.com/blog/security/iphone-date-glitch-exposes-photo-albums/9927
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: warlord am Januar 05, 2012, 15:22:40
Nicht am Photo-Datum. Am Geräte-Datum.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 05, 2012, 17:30:48
Oje, wieder ein Ergebnis meines leicht defekten Multitaskings. Danke für die Korrektur.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 08, 2012, 21:02:00
Hmm, ich weiß gar nicht, ob ich das verlinken soll, aber vielleicht ist ja was dran… nehmt es bitte als ausdrücklich ungesichert, dass ist das Einzige, was schon klar ist.

Have RIM, Nokia & Apple provided Indian Military with backdoor access to cellular comm?
http://www.zdnet.com/blog/india/have-rim-nokia-apple-provided-indian-military-with-backdoor-access-to-cellular-comm/838
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Januar 09, 2012, 12:28:16
Hmm, ich weiß gar nicht, ob ich das verlinken soll

Doch, doch. ;)
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Januar 11, 2012, 20:20:32
Laut Sprecherin Trudy Muller hat Apple in seinen Produkten der indischen Regierung keinen Hintertür-Zugang gegeben:
http://www.sueddeutsche.de/digital/hacker-veroeffentlichen-brisantes-dokument-paktieren-apple-und-co-mit-dem-indischen-geheimdienst-1.1253545
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 25, 2012, 16:02:22
Wer im O2-Mobilnetzwerk surft, sendet Webseiten seine Telefonnummer, zumindest in Großbritannien, wird hier (http://www.macrumors.com/2012/01/25/o2-privacy-flaw-sends-users-mobile-numbers-to-visited-websites/) behauptet.

Im Artikel ein Link, wo Ihr das selbst ausprobieren könnt, ob andere Länder betroffen sind, wird nämlich nicht gesagt.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Januar 25, 2012, 16:11:07
Ich bin bei netzclub (gehört o2) und habe das gerade mal probiert. Da wird bei mir nichts derartige übertragen.

Wenn das tatsächlich stimmen würde, wäre das schon ein Hammer. Dazu müssen die nämlich den kompletten Netzwerkverkehr filtern und Informationen einfügen. Also DPI (Deep Packet Inspection) inklusive Veränderung der Pakete. Kann ich mir nicht wirklich vorstellen, dass die das einfach so machen.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Januar 25, 2012, 19:13:11
OK, es war doch simpler. O2 UK benutzt einen Proxy, der Grafikdateien zwecks schnellerer Übertragung reduziert. Und dies Proxy hat das eingebaut. Also keine DPI.
Nichtsdestotrotz peinlich.

http://www.heise.de/newsticker/meldung/Britischer-Netzbetreiber-gab-Rufnummern-preis-1421950.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Januar 26, 2012, 07:48:27
Was mir dazu noch einfällt:
Unabhängig von dieser eingefügten Telefonnummer, die nun wieder deaktiviert ist, hat das mit dem Zwangsproxy aber doch erhebliches Problempotential. Alle unverschlüsselten HTTP-Verbindungen laufen dann darüber und können problemlos an einer Stelle gespeichert/durchleuchtet werden. Wenn man also z.B. Kennwörter für Foren etc., die meist unverschlüsselt übertragen werden, braucht, braucht man nur hier mal schauen. Ist ja praktisch ein Man-in-the-Middle-Angriff auf unverschlüsselte Verbindungen.
Interessant auch im Zusammenhang mit den "geknackten" iTunes-Accounts, wenn das iTunes-Kennwort auch an anderer Stelle verwendet wurde.

Werden solche Zwangsproxies in D auch eingesetzt?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Januar 26, 2012, 09:29:09
Vodafone de komprimiert ebenfalls Bilder standardmäßig im mobilen datennetz. Wie das technisch abläuft weiß i h aber nicht.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Januar 27, 2012, 08:10:27
Das müsste dann ja auch über einen Zwangsproxy laufen.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Februar 02, 2012, 16:45:32
http://arstechnica.com/gadgets/news/2012/01/android-trojans-downloaded-by-millions-still-on-android-market.ars
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Februar 08, 2012, 22:44:03
http://www.heise.de/newsticker/meldung/iOS-App-verschickt-Adressbuch-an-den-Hersteller-1430793.html
http://www.giga.de/apps/cydia/news/adressbuch-schutz-address-book-privacy-und-contactprivacy-in-cydia-verfugbar/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Bonobo am Februar 09, 2012, 01:57:38
Die böse iOS-App heißt Path. Und soweit ich weiß, schickt What’sApp auch das Adressbuch ohne zu fragen zum Entwickler.

Und Dragon Dictate fragt wenigstens vorher nach …
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Februar 09, 2012, 09:01:14
Und soweit ich weiß, schickt What’sApp auch das Adressbuch ohne zu fragen zum Entwickler.

Nein, das ist nicht richtig.
What'sApp schickt nur die Telefonnummern ohne Namen oder andere Daten.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: fränk am Februar 09, 2012, 11:39:13
Nein, das ist nicht richtig.
What'sApp schickt nur die Telefonnummern ohne Namen oder andere Daten.

Sind Sie bereit, dies bei ihrem linken Hoden zu beeiden?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am März 20, 2012, 16:49:50
Fehler im mobilen Webkit ermöglicht es, die Adresszeile zu manipulieren, also dem Surfer eine falsche Seite vorzugaukeln:
http://www.heise.de/mac-and-i/meldung/Adress-Spoofing-Schwachstelle-in-iOS-Safari-1476075.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am März 28, 2012, 13:50:10
Spezialsoftware fürs Knacken des iPhones, mit Video:
http://www.cultofmac.com/156802/this-software-can-extract-your-ios-devices-passcode-contacts-call-logs-and-even-keystrokes-video/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juli 24, 2012, 22:28:58
Android-Sicherheitswissen für Entwickler und Interessierte:
http://source.android.com/tech/security/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am August 16, 2012, 17:07:15
http://m.heise.de/security/meldung/Die-angebliche-Trojaner-Flut-bei-Android-1668605.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am August 16, 2012, 23:17:32
Interessant! Da machen sich gewisse Antivirenhersteller ja echt lächerlich und das mit voller Absicht.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am August 18, 2012, 07:36:22
http://www.giga.de/apps/ios/news/ios-lucke-angreifer-konnen-sms-absender-falschen/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am August 20, 2012, 09:52:03
Apple rät also zu iMessage um das obige Sicherheitsproblem zu umgehen:
http://www.macnotes.de/2012/08/20/apple-statement-imessage-statt-sms-wegen-sicherheitsluecke/

Ich soll also den Leuten, die mir SMS (a 0,09 €) schreiben, raten ein iPhone (629 €) zu kaufen. Bei soviel Hochmut glaube ich langsam an den Fall.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am August 21, 2012, 00:11:53
Starke Aussage aus Cupertino. ;) Mir reicht es jetzt echt allmählich, typisches Gebaren eines Marktführers.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am August 21, 2012, 08:53:12
Also die Aussage von Apple ist echt eine Frechheit.

Zur eigentlichen Problematik:
Das ist leider kein reines Apple-Problem, sondern fast überall so.
In der SMS-Spezifikation kann man zwei Telefonnummern angeben: Einmal die Absendernummer und eine Nummer, zu der die Antwort geschickt werden soll (Reply-to). Ähnlich wie es auch bei E-Mails ist.
Ich kenne kein Telefon, bei der man bei einer SMS beide Nummern angezeigt bekommt! Man bekommt immer nur die Absender-Nummer angezeigt.
Das Problem ist nun, dass man als Absendernummer irgendeine wichtige Nummer eintragen kann (Notruf, Bank etc.) und in der Reply-To dann die eigene. Auf dem Telefon wird dann angezeigt, dass die SMS von dieser vorgeblichen Stelle ist und eine Antwort-SMS geht dann aber an den Bösewicht.
Das Szenario funktioniert AFAIK auf allen Geräten, die bei SMS dieses Reply-To unterstützen, denn angezeigt wird immer nur die Absendernummer.

Natürlich wird in den News-Meldungen aber immer nur Apple als problematisch erwähnt, da das ja so schön Klicks gibt...

Was könnte Apple statt so einer unverschämten Aussage antworten?
Sie könnten in der SMS-App einbauen, dass beide Nummern angezeigt werden bzw. man auf die unterschiedliche Reply-To-Nummer hingewiesen wird. Damit hätten sie ein positives Merkmal und könnten schreiben, dass iPhones vor diesem SMS-Feature sicher sind.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: warlord am August 21, 2012, 09:05:18
Das Problem ist nun, dass man als Absendernummer irgendeine wichtige Nummer eintragen kann (Notruf, Bank etc.) und in der Reply-To dann die eigene. Auf dem Telefon wird dann angezeigt, dass die SMS von dieser vorgeblichen Stelle ist und eine Antwort-SMS geht dann aber an den Bösewicht.

Hä? Und wenn man an der Antwort tippt, dann wird nicht jene Nummer angezeigt, an welche das SMS geschickt wird, sondern jene vom Absender jener SMS, auf die man Antwortet?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am August 21, 2012, 09:39:11
Du hast kein "eigenes" Formular für das Abschicken einer Antwort, wie z.B. bei Mail.
In der SMS-App siehst Du die SMS (oder die Konversation) mit der "Absender-Nummer" und darunter direkt ein Nachrichtenfeld fürs Antworten.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: warlord am August 21, 2012, 10:01:34
Ja stimmt, diese Chat-mässige Darstellung ist jetzt bei Smartphones ja verbreitet. Macht meines auch so. Wäre mal interessant, wenn man das testen könnte, wie sich das genau präsentiert und wie das Handy vor und nach dem Abschicken reagiert und in welchen "Thread" es das SMS einreiht.

Aber immerhin hat Apple doch wohl diese Chat-mässige Darstellung für SMS eingeführt, oder nicht? Dann ist das Anschuldigen von Apple nicht ganz so ungerecht.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am August 21, 2012, 11:14:15
Das Szenario funktioniert AFAIK auf allen Geräten, die bei SMS dieses Reply-To unterstützen, denn angezeigt wird immer nur die Absendernummer.

In dem verlinkten Artikel steht, daß das auf anderen Handys zum Teil anders ist.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am August 21, 2012, 13:24:19
In dem verlinkten Artikel steht, daß das auf anderen Handys zum Teil anders ist.

Wo steht das?
Edit: Hab's gefunden. War nicht in dem Artikel über das Problem sondern über Apples Antwort.

Kann sein, dass es auch Geräte gibt, die das anders handhaben. Es gibt auch welche, die Reply-To überhaupt nicht unterstützen. Ich kenne nur Geräte, bei denen das Problem auftritt.

Das ist aber keine(!) Entschuldigung für Apple und schon gar nicht für die "unverschämte" Antwort seitens Apple.
Wie geschrieben eine Lösung einbauen und das als positive Werbung verbuchen, wäre der bessere Weg.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am August 27, 2012, 11:23:09
http://www.mactechnews.de/news/article/SMS-Sicherheitsproblem-laut-AdaptiveMobile-nur-beim-iPhone-zu-beobachten-153809.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am August 27, 2012, 11:34:58
Das klingt nicht so gut für Apple. :)
Wobei das von mir geschriebene abgesehen von RIM auch nicht völlig falsch war. Aber eben irreführend. :)

Wie auch immer, Apple sollte das einfach beheben und gut. Ist schließlich kein Hexenwerk, da ein Popup aufgehen zu lassen. Verstehe irgendwie nicht, warum die sich da wehren.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 18, 2012, 10:44:45
http://www.sueddeutsche.de/digital/sicherheitsprobleme-bei-smartphone-app-whatsapp-ist-kaputt-richtig-kaputt-1.1470257
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 18, 2012, 13:01:56
What's App ist schon länger in der Kritik, den Leuten scheint es egal.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am September 18, 2012, 13:15:40
Ich finde es krass, was für simple Fehler dort begangen werden. Es ist ja nicht so, als ob dort eine richtige Verschlüsselung oder Sicherheit ausgetrickst würde. Eigentlich sollte es jedem Entwickler klar sein, dass derartiges auf Dauer nicht funktionieren kann. Security by Obscurity vom feinsten. Ich kann da echt nur den Kopf schütteln. Vor allem nachdem die schon einmal aufgefallen waren und extra "Sicherheit" nachgerüstet haben. Warum machen sie es dann nicht gleich richtig oder wenigstens richtiger? Ist doch kein Hexenwerk und kein großer Aufwand.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: warlord am September 18, 2012, 13:19:12
What's App ist schon länger in der Kritik, den Leuten scheint es egal.

Tja. Gratis muss es halt sein. Alles andere ist nicht so wichtig. Zumindest bis man selbst in irgend eine dumme Situation gerät. Aber dann sind natürlich andere schuld und garantiert nie die eigene Gedankenlosigkeit.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Oktober 30, 2012, 13:14:48
http://m.heise.de/tr/artikel/Datenschutzselbsthilfe-fuer-Smartphones-1729186.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 01, 2012, 12:38:51
http://www.heise.de/newsticker/meldung/Burp-Proxy-macht-SSL-Verbindungen-von-Android-auf-1741418.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 12, 2012, 19:51:39
http://www.heise.de/mobil/meldung/App-Store-Betrugsmasche-setzt-auf-Namen-beliebter-Jailbreak-Apps-1748449.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 13, 2012, 15:50:30
Bank-Konten von Android-Nutzern leergeräumt, die online Banking gar nicht über Android machen:
http://winfuture.de/news,72993.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 13, 2012, 15:57:01
Könnte so auch an allen anderen SMS-Telefonen passieren, nur zur Warnung.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 13, 2012, 18:14:34
Je nach dem wie weitgehend man "könnte" auslegt. Da musste erst was installiert werden. Der Trick würde auf iOS (hoffentlich) wegen AppStore Zwang nicht funktionieren.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 20, 2012, 13:54:54
http://www.heise.de/mac-and-i/meldung/WhatsApp-stopft-Sicherheitsloch-und-verlangt-Abo-Gebuehren-1753088.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 21, 2012, 12:08:57
http://www.maclife.de/iphone-ipod/software/ios-6-bug-behoben-keine-weiteren-imessages-auf-gestohlenen-iphones
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 29, 2012, 23:21:39
WhatsApp wieder mal:
http://www.heise.de/newsticker/meldung/Erneut-Account-Klau-bei-WhatsApp-moeglich-1756224.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am November 30, 2012, 08:09:24
Kann mir einer mal verständlich erklären, warum die von WhatsApp das nicht hinkriegen und weiterhin Kennwörter benutzen, die man aus bestimmten Daten (Telefonnummer/IMEI) rekonstruieren kann?
Warum benutzen die nicht das seit Jahrzehnten bewährte Konzept ein unabhängiges Kennwort zu verwenden, dieses gesalzen als Hash zu speichern und über eine verschlüsselte Verbindung mit Kontrolle der Gegenstelle zu übertragen? Das ist programmiertechnisch simpel.

Ich kann das echt nicht verstehen.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 30, 2012, 12:12:04
Keine Ahnung , kein Interesse?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am November 30, 2012, 12:48:10
Und weil sie kein Interesse haben, entwickeln sie etwas eigenes (Kennwortermittlung aus Telefonnummer und IMEI) statt das bewährte zu nehmen?

Ich verstehe so etwas echt nicht. Es macht doch mehr Arbeit, da einen eigenen Weg zu entwickeln, und gibt noch schlechte Presse, wenn der nicht gut war.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 30, 2012, 13:25:36
So gesehen bleibt nur „keine Ahnung“ übrig.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: warlord am November 30, 2012, 13:34:48
Meine Vermutung: weil es für die Nutzerschaft, die WhatsApp so geil findet, halt schon eine Zumutung wäre, sich bevor man losplappern kann erstmal ein Kennwort ausdenken zu müssen?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Februar 08, 2013, 14:42:55
Diese sicherheitsrelevanten Fehler könnten Entwickler leicht abstellen - teilweise allerdings etwas unbequem für die verwöhnten Mobilnutzer, die Passwörter nur einmal eingeben wollen:
http://arstechnica.com/security/2013/02/mobile-app-security-always-keep-the-back-door-locked/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 28, 2013, 00:02:02
http://www.pctipp.ch/news/sicherheit/67409/studie_ios_hat_am_meisten_sicherheitsluecken.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am März 28, 2013, 00:25:53
Die Studie selbst kann ich nicht finden…

Im Artikel steht ja deutlich, warum das so rauskommt. Über Apps geht es bequemer, nur bei Apple eben nicht, daher Suche nach OS-Lücken. Hinzufügen möchte ich noch die Jailbreaker, die ja auch nach Sicherheitslücken suchen müssen und wer weiß, wo die dann überall landen.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Mai 08, 2013, 11:37:28
http://www.golem.de/news/datenschutz-tv-und-radio-apps-geben-daten-von-apple-nutzern-weiter-1205-92054.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Mai 15, 2013, 23:49:46
In den letzten Tagen gab es ja einige Verwirrung, da berichtet wurde, Apple würde für die US-Behörden iPhones knacken, diese müssten wegen der vielen Anfragen aber Monate und länger darauf warten.
http://news.cnet.com/8301-13578_3-57583843-38/apple-deluged-by-police-demands-to-decrypt-iphones/

Gibt es also in iOS ein Hintertürchen? Gemutmasst wird lediglich eine Brute-Force-Attacke auf ein vom iPhone kopiertes Image. Also die selbe Methode wie es für die Polizei leicht erhältliche Software auch versucht, die hier offensichtlich Geld sparen will/muss.

Leider gibt es (natürlich) kein Statement von Apple.

Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juni 04, 2013, 09:15:48
http://m.heise.de/mac-and-i/meldung/iOS-Ladegeraet-schleust-Malware-ein-1875422.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Juni 05, 2013, 07:50:37
Die Geschichte ist wieder einmal sprachlich etwas aufgebauscht und eigentlich nichts neues.

Dieses "Ladegerät" ist nämlich kein Ladegerät, sondern ein kleiner Computer im Gehäuse eines Ladegerätes. Somit ist hier das gleiche möglich wie beim Anstecken an jeden anderen x-beliebigen Computer. Man kann schon lange auf die Daten eines iOS-Gerätes lesen/schreibend zugreifen, wenn man es per USB verbindet, siege iPhone Explorer und ähnliche Software. Außerdem funktionieren auch viele Jailbreak-Mechanismen nur über den Weg des Anschlusses über USB an einen Computer.

Also eigentlich müsste der Artikel heißen:
"Computer in eine Ladegerätgehäuse gebaut um Malware zu verteilen"

Es soll helfen, dass iOS-Gerät nur im gesperrten Modus per USB an ein anderes Gerät (Ladegerät, "Ladegerät"-Computer, Computer) zu stecken.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juni 17, 2013, 23:22:00
iOS Hotspot Kennwort ändern!
http://www.iphone-ticker.de/hotspot-passwoerter-unsicher-iphone-hotspot-laesst-sich-knacken-ios-7-bessert-nach-49215/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Juni 18, 2013, 07:42:36
Ja, da sollte man auf jeden Fall etwas eigenes nehmen. Danke für den Hinweis.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juni 18, 2013, 13:50:52
Ich packe es hier (noch mal) rein, Betreff Datensicherheit.
https://www.apple.com/apples-commitment-to-customer-privacy/

Sehr interessant dabei folgender Absatz:
Zitat
For example, conversations which take place over iMessage and FaceTime are protected by end-to-end encryption so no one but the sender and receiver can see or read them. Apple cannot decrypt that data. Similarly, we do not store data related to customers’ location, Map searches or Siri requests in any identifiable form.

Edit: Tidbits:
What Apple Data the U.S. Government Can and Cannot Access (http://tidbits.com/article/13854)
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juli 22, 2013, 18:01:48
Ich packs mal hier rein.

http://www.giga.de/extra/sicherheit/news/sicherheitslucke-millionen-sim-karten-lassen-sich-mit-modifizierten-sms-nachrichten-hacken
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Juli 23, 2013, 08:05:26
Tja, ist schon krass, was heutzutage alles angreifbar ist. Wer hätte gedacht, dass man eine SIM-Karte aus der Ferne knacken kann.
Doof ist nur, dass es keinen einfachen Test gibt, um zu schauen, ob man betroffen ist.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juli 23, 2013, 08:35:13
SIM Karten der deutschen Netzbetreiber sind wohl nicht betroffen, bzw. nur manche O2 Karten, die älter als 11 Jahre sind:
http://www.teltarif.de/sim-karte-sicherheitsluecke-reaktionen-netzbetreiber/news/51864.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Juli 23, 2013, 08:45:05
Ja, habe ich auch gelesen. Trotzdem fände ich eine einfache Testmöglichkeit besser. Solchen Aussagen der Provider traue ich nämlich nicht.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am August 17, 2013, 15:38:00
Viele Android-Geräte haben angreifbare Verschlüsselung, Google stellt den Herstellern einen Patch bereit. Aber wann der dann auf die Geräte kommt?
http://www.heise.de/security/meldung/Androids-Verschluesselung-angreifbar-1936181.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 02, 2013, 18:14:42
How Apple is improving mobile app security:
http://www.macworld.co.uk/macsoftware/news/?newsid=3466613
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 11, 2013, 13:37:13
TÜV Rheinland Datenschutzprüfung:
http://www.checkyourapp.de
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 11, 2013, 14:24:36
Hersteller-Anpassungen machen Android angreifbar:
http://winfuture.de/news,78757.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Dezember 17, 2013, 16:11:09
Apple nimmt sich bei der Verschlüsselung von Userdaten in den eigenen Apps einfach mal die Freiheit, sie zu unterlassen.
http://www.heise.de/mac-and-i/meldung/Apple-verbessert-iPhone-Verschluesselung-nur-teilweise-2066775.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 21, 2013, 13:00:36
http://www.heise.de/security/artikel/iOS-Verschluesselung-durchleuchtet-2066500.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: warlord am Dezember 21, 2013, 13:17:12
Hmm, wenn ein Autor es schafft, schon innerhalb des ersten Satzes einen Widerspruch abzuliefern, dann lockt mich die Lektüres des Artikel irgendwie nicht mehr...  ::)
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 21, 2013, 13:27:32
Und was ist widersprüchlich?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: warlord am Dezember 21, 2013, 13:28:29
Die transparente Blackbox?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Februar 19, 2014, 00:29:00
http://www.macworld.co.uk/news/apple/report-finds-ios-apps-riskier-than-android-apps-3502619/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Februar 28, 2014, 11:46:18
http://m.heise.de/newsticker/meldung/Android-iOS-Gratis-Werkzeuge-zur-Malware-Analyse-2126603.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 10, 2014, 21:58:23
http://www.heise.de/security/meldung/SSL-Verschluesselung-auch-in-iOS-Apps-problematisch-2138829.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am März 11, 2014, 08:44:04
Interessant wäre auch eine Liste der Apps gewesen, die das Problem aufweisen. Das würde Druck gegenüber den betreffenden Entwicklern aufbauen, damit die das reparieren.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juni 19, 2014, 20:11:33
http://www.heise.de/security/meldung/Tausende-Android-Apps-geben-geheime-Schluessel-preis-2235259.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 27, 2014, 21:50:27
http://www.heise.de/security/meldung/iOS-Sicherheitsluecke-ermoeglicht-Keylogging-in-Apps-mit-integriertem-Browser-2403572.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 29, 2014, 22:03:28
es Apps nach wie vor möglich ist, dauerhaft den Inhalt der Zwischenablage auszuspähen:
http://www.heise.de/security/meldung/iOS-8-verraet-Drittanbieter-Apps-mit-wem-man-telefoniert-2399812.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 03, 2014, 19:34:19
Ein Richter in Virginia/USA entschied: Zur Herausgabe des Passcodes darf man nicht gezwungen werden, wohl aber zum Entsperren per Fingerabdruck/Touch ID.
http://arstechnica.com/tech-policy/2014/10/virginia-judge-police-can-demand-a-suspect-unlock-a-phone-with-a-fingerprint/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 11, 2014, 14:12:09
Masque Attack:
http://www.heise.de/newsticker/meldung/Gefaelschte-iOS-Apps-per-Enterprise-Zertifikat-auf-Geraeten-verteilt-2445858.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 27, 2014, 21:15:48
http://www.zeit.de/digital/datenschutz/2014-12/fingerabdruck-merkel-leyen-hack-ccc-31c3/komplettansicht
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Februar 05, 2015, 15:38:03
http://www.heise.de/security/meldung/Spionage-App-soll-Daten-aus-unmodifizierten-iPhones-auslesen-2541253.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Februar 06, 2015, 07:12:04
Nun ja, wieder zwei Apps, die man selber installieren muss. Bei der einen muss man vorher einen Jailbreak gemacht haben und bei der anderen muss man beim ersten Start eine Warnung wegklicken. Gefährdungspotential halte ich für sehr gering.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Februar 17, 2015, 14:04:08
Zitat
Wer ein Smartphone oder Tablet mit Android 4.3 oder älter nutzt, lebt gefährlich.
http://www.heise.de/security/meldung/Android-Exploit-schleust-beliebige-Apps-ein-2549172.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Quaestor am Februar 17, 2015, 17:26:44
Das find ich noch viel interessanter:
http://www.heise.de/newsticker/meldung/Equation-Group-Hoechstentwickelte-Hacker-der-Welt-infizieren-u-a-Festplatten-Firmware-2550779.html

Zitat
So nutzten offenbar viele Ziele einer betroffenen Gruppe in China Computer mit Mac OS X. Außerdem habe man einen Hinweis dafür gefunden, dass iPhones infiziert werden können, da deren Nutzer von einem PHP-Skript auf eine Seite mit einem Exploit gelotst würden.

Und dann denk ich an das iCar. Mahlzeit ...
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 20, 2015, 11:42:06
http://www.heise.de/security/meldung/Trotz-Patches-Android-und-iOS-Apps-noch-anfaellig-fuer-Freak-Angriff-2581236.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am April 26, 2015, 00:35:29
http://www.teltarif.de/ios-8-wlan-sicherheit/news/59466.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Mai 27, 2015, 18:40:57
Viele App-Anbieter legen Daten ungeschützt auf Cloud-Services

Im Test zeigte sich, dass die große Mehrheit der Apps nicht über weitergehende Schutzvorrichtungen verfügen. Die beteiligten Informatiker untersuchten insgesamt immerhin 750.000 Anwendungen aus dem Google Play Store und dem App Store von Apple
:
http://winfuture.de/news,87289.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juni 05, 2015, 18:33:33
Finde ich fies:
http://www.apfelpage.de/2015/06/05/sicherheitsluecke-in-ios-kreditkartenphishing-ueber-wlan-moeglich
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Juni 06, 2015, 08:21:05
Ziemlich fies, ja. :(
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juni 09, 2015, 17:27:11
http://www.heise.de/mac-and-i/meldung/iOS-Schwachstelle-in-Apple-Mail-ermoeglicht-offenbar-raffiniertes-iCoud-Phishing-2684896.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juni 21, 2015, 19:10:50
http://www.golem.de/news/android-tausende-apps-akzeptieren-gefaelschte-zertifikate-1504-113785.html
Titel: Re: Sicherheit von iOS und Android
Beitrag von: Florian am Juli 04, 2015, 12:24:29
Desinteresse an Sicherheit für die Nutzer bei LG:
http://www.heise.de/newsticker/meldung/LG-will-klaffendes-Sicherheitsloch-in-Smartphones-nicht-schliessen-2734353.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juli 16, 2015, 19:28:17
https://blog.lookout.com/de/2015/07/14/wie-das-hacking-team-iphones-ohne-jailbreak-ausspionieren-konnte/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Tine am Juli 17, 2015, 09:47:12
Hi, da ich in einer kreativen Branche arbeite und viel unterwegs bin werde ich mir wahrscheinlich das iPad Air 2 holen (Link entfernt - Florian), die vielen Schlagzeilen zur Sicherheit der mobilen Betriebssysteme verunsichern mich aber ein wenig. Ich bin nicht so die Technikexpertin und werde jetzt auch keine wirklich sensiblen Daten auf meinem iPad haben, aber die Sicherheit meiner Daten ist mir dennoch wichtig.

Gibt es Apps die ihr empfehlen könnt, um die Sicherheit zu erhöhen? Avira Mobile Security scheint ja zum Beispiel recht gute Bewertungen zu haben https://itunes.apple.com/de/app/avira-mobile-security/id692893556?mt=8
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juli 17, 2015, 14:25:44
Das iPad Air musst Du nicht mit Link verknüpfen, habe ich gelöscht.

Die Avira-App erhöht nicht wirklich die Sicherheit der Daten. Gerät ausfindig machen kann man auch per Apple-eigenem Dienst und die Email-Scannerei wird wohl sehr viel hervor bringen… ja, leider bekommen sie abstrusen Spam, ihre Email ist bösen Menschen bekannt. Also ich weiß ja nicht.

Klassische Virenscanner können auf iOS gar nicht funktionieren, weil Apple Apps nicht solche Möglichkeiten einräumt.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juli 29, 2015, 01:17:27
Neue Betrugsmasche mit dauernd ladender, unsichtbarer Werbung verbraucht zwar „nur“ Daten-Volumen des Users, zockt aber Abermillionen der Werbekunden ab. Betroffen sind alle Systeme:
http://www.heise.de/newsticker/meldung/Tausende-Apps-scheffeln-mit-unsichtbarer-Werbung-Geld-2763990.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Jochen am Juli 29, 2015, 08:15:36
Neue Betrugsmasche mit dauernd ladender, unsichtbarer Werbung verbraucht zwar „nur“ Daten-Volumen des Users, zockt aber Abermillionen der Werbekunden ab. Betroffen sind alle Systeme:
http://www.heise.de/newsticker/meldung/Tausende-Apps-scheffeln-mit-unsichtbarer-Werbung-Geld-2763990.html

So was habe ich bei meinem iPad noch nicht gesehen. Weil unsichtbar?

Oder muss ich mir zuvor eine App geladen haben die was kostet oder kostenlos ist und die generiert das im Hintergrund?

Jochen
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juli 30, 2015, 19:50:43
Oder muss ich mir zuvor eine App geladen haben die was kostet oder kostenlos ist und die generiert das im Hintergrund?

Genau. Angeblich sind in den offiziellen App-Stores 5000 solche Apps. Eine Liste haben die Sicherheitsforscher aber leider nicht parat. :(

Zitat
So was habe ich bei meinem iPad noch nicht gesehen. Weil unsichtbar?

Und hättest Du so eine App: Genau, man merkt es nur am Traffic. Aber wer schaut auf den ständig?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am August 03, 2015, 00:58:08
Stagefright und co. sind eklatante Sicherheitslücken, die die allermeisten Android-Nutzer bedrohen.

http://www.heise.de/security/meldung/Stagefright-Android-Smartphones-ueber-Kurznachrichten-angreifbar-2763764.html
http://www.heise.de/security/meldung/Praeparierte-Videos-legen-Android-Geraete-lahm-2765247.html
http://www.heise.de/security/meldung/Sicherheitsluecken-im-Android-Multimedia-System-eskalieren-2766925.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am August 05, 2015, 14:32:41
Schutz vor Android-Schwachstelle: Telekom stellt MMS-Versand vorübergehend ein. Es werden nur mehr SMS mit Link auf die MMS zugestellt:
http://www.telekom.com/verantwortung/sicherheit/news/283450
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am August 24, 2015, 14:59:06
http://www.heise.de/security/meldung/iPhones-im-Firmenumfeld-ausspionierbar-2789075.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am August 26, 2015, 09:30:29
Das Loch wurde mit 8.4.1 gestopft, also vor der Meldung.
Hat apple sich mal schneller bewegt?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 01, 2015, 22:37:48
So ein Jailbreak kann gefährlich sein: Malware spionierte über 200 000 iCloud-Passwörter aus und erlaubte über Benutzen einer anderen App das Shoppen im Appstore auf Kosten anderer.
http://www.heise.de/mac-and-i/meldung/iOS-Trojaner-ermoeglichte-Einkauf-im-App-Store-mit-gehackten-Accounts-2795857.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 08, 2015, 00:32:29
Android: Porno-App macht Bild vom User, sperrt das Handy und verlangt Lösegeld.
http://www.bbc.com/news/technology-34173372
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 20, 2015, 12:29:46
im Installer des iOS-App-Compilers Xcode wurde chinesischen Entwicklern eine Malware untergeschoben, die es in mindestens 39 Apps bereits in den offiziellen App-Store geschafft hat:
http://www.heise.de/mac-and-i/meldung/Malware-infiziert-iOS-Compiler-Xcode-2822085.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Quaestor am September 20, 2015, 13:55:13
Was mir wohl wirklich nie in den Schädel will, wieso Leute Programme nicht direkt vom Hersteller laden?
Solchen "Entwicklern" würde ich, wenn ich Apple wäre, die Lizenz entziehen. So dumm kann man doch heute gar nicht mehr sein ...
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am September 21, 2015, 07:21:05
Die Dummen sterben nicht aus.  >:(

Das verstehe ich auch nicht. Allerdings gibt es ja eine Menge "Downloadportale", die anscheinend von den Leuten auch benutzt werden. Dabei laden sie dann eben nicht wie z.B. bei Macupdate vom Original-Server, sondern eben von dem Betreiber des Downloadportales. Mich hat da schon immer abgeschreckt, dass das Herunterladen nicht besonders einfach ist und teilweise auch noch bezahlt werden soll.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am September 22, 2015, 06:57:40
OK, ich muss mich korrigieren. Die Situation in China ist mir nicht so geläufig.

Aufgrund der Internetschranken in China ist der Download direkt von ausländischen Servern (z.B. Apple) wohl oft langsam und instabil. Das ist dann der Grund warum inländische chinesische Downloadportale verwendet werden. Ist zwar trotzdem leichtsinnig, aber vor dem Hintergrund verständlicher.

Diese veränderten XCode-Pakete haben jedem damit erstellten iOS-Programm eigene Routinen hinzugefügt, die Daten zu bestimmten Servern schicken. Das ist Apple bei der Kontrolle der Apps nicht aufgefallen. Warum nicht? Weil diese Funktionen nicht gegen irgendwelche Regeln verstossen und auch von vielen Apps absichtlich eingebaut werden. Apple kann effektiv nicht feststellen, ob diese Routinen absichtlich vom Entwickler oder unabsichtlich eingebaut sind.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 23, 2015, 19:31:58
OS 9: Neuer Trick um - unter bestimmten Umständen - das iPhone freizuschalten ohne Passwort oder Fingerabdruck.
http://www.heise.de/newsticker/meldung/iOS-9-Erneut-Umgehung-der-Geraetesperre-moeglich-2824001.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 24, 2015, 11:12:13
http://www.golem.de/news/nach-malware-infektion-apple-raeumt-den-app-store-auf-1509-116473.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 24, 2015, 19:32:10
Apple-Infoseite zu den mit manipuliertem Xcode entwickelten Apps:
https://www.apple.com/cn/xcodeghost/#english
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Oktober 09, 2015, 10:58:35
http://www.heise.de/mac-and-i/meldung/App-Store-iOS-Adblocker-mit-Root-Zertifikaten-entfernt-2841198.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Oktober 09, 2015, 19:22:15
Naja, logisch, dass sind Proxy-Dienste, die alles über ihren Server leiten.

Bei so etwas ist es schon wichtig, die Beschreibung und Rezensionen zu lesen. Oder vielleicht doch iCab nutzen.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 03, 2015, 12:36:04
Googles Project Zero testet das Galaxy S6 Edge - eine Katastrophe:
http://winfuture.mobi/news/89661
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: mbs am November 10, 2015, 16:38:45
Dabei laden sie dann eben nicht wie z.B. bei Macupdate vom Original-Server, sondern eben von dem Betreiber des Downloadportales. Mich hat da schon immer abgeschreckt, dass das Herunterladen nicht besonders einfach ist und teilweise auch noch bezahlt werden soll.

Ich kapere mal diesen Thread ;) und das obige Zitat, da inzwischen auch MacUpdate neu bewertet werden muss.

In den letzten zwei Monaten hat sich die Situation drastisch geändert: Zum einen ist MacUpdate dazu übergegangen, bei allen Entwicklern, die sich nicht wehren, nicht mehr auf den Original-Server zu verlinken, sondern selbst Kopien der Software auf ihren eigenen Servern anzubieten. Teilweise findet das ohne Genehmigung statt, es handelt sich also formal um Raubkopien.

Zusätzlich findet seit letzter Woche kein normaler Download mehr statt. Wenn man nicht als Mitglied für die Downloads bezahlt, erzwingt MacUpdate jetzt den Download eines eigenen Installers, der erst indirekt die angeklickte Software herunterlädt. Dieser Installer installiert zusätzlich Adware auf dem System und ändert Einstellungen des Web-Browsers.

Es gibt erste Anträge an Apple (http://www.openradar.me/23453400), MacUpdate die Entwicklerlizenz zu entziehen, so dass dieses Verfahren von Gatekeeper als Malware eingestuft wird.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Bonobo am November 10, 2015, 17:28:20
Oh, das ist aber übel …danke für den Hinweis, mbs!
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 10, 2015, 18:47:26
Wow! In meinen Augen ist das kriminell.
Ein Boykott ist mehr als angebracht.

Vielen Dank für diese Information, ist mir auch ganz neu und schon bereue ich jeden Link zu oder gar Kauf von denen. Schade, gibt es denn jetzt gar keinen „Katalog“ mehr, denn man nutzen will?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 10, 2015, 19:17:57
Vielleicht diesen?
http://www.heise.de/download/apple-50002505000/?f=123456ws
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 11, 2015, 00:42:53
Kenne ich schon, aber irgendwie werde ich nicht warm damit.
Englischsprachig wäre auch besser, weil mehr Meinungen.

Naja, meine App-Sammeltage sind eh vorbei, wird schon gehen. :)
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am November 11, 2015, 08:16:20
Uiuiuiui  :o

Danke für die Info. Das war mir in den letzten Wochen noch gar nicht aufgefallen. Das geht ja gar nicht.
Tja, so geht wieder ein oft genutzter Dienst den Bach runter. :(
Es war mir aber auch schon im letzten Jahr aufgefallen, dass gerade Software, die nicht so aus dem reinen Mac-Lager kommt, öfters mal nicht bei MacUpdate gelistet ist und ich neben Macupdate auch noch einzeln nach Updates für Programme schauen musste.

Wenn einer eine wirklich adäquate Alternative, die ähnlich umfangreich ist wie MacUpdate früher war, weiß, dann bitte melden. Mit dem heise-Archiv bin ich auch nie richtig warm geworden und früher war es im Machtbereich auch nicht besonders vollständig. Aber ich sollte es mir echt mal wieder anschauen.

Meine App-Sammeltage sind auch schon länger vorbei. :) Aber manchmal suche ich nach einer Lösung für eine neue Aufgabenstellung und da sind solche Übersichten schon gut.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 11, 2015, 18:04:11
Das einzige, was ich sonst ab und zu noch besuche ist http://osx.iusethis.com

Die sind aber offensichtlich sehr auf Mitarbeit angewiesen. Appstore-Programme werden eher nicht gelistet, wenn sie kein registrierter Nutzer „importiert“ hat. Außerdem ist das Design nicht besonders.


Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 02, 2015, 19:34:41
http://www.sueddeutsche.de/digital/2.220/sicherheit-bei-smartphones-warum-android-nutzer-neidisch-auf-apple-kunden-sein-sollten-1.2763408
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Januar 22, 2016, 16:52:11
http://app.wiwo.de/unternehmen/it/sicheres-telefonieren-bahn-frei-fuer-das-merkel-iphone/12794666.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 23, 2016, 00:59:58
Nach New York (Bundesstaat) liegt auch nun auch in Apples Heimat-Staat Kalifornien ein Gesetzesentwurf im Parlament, der darauf abzielt nur noch Smartphones mit - am Ende nicht nur staatlich nutzbarem - Hintertürchen zuzulassen.
http://www.mactechnews.de/news/article/Auch-Kalifornien-will-den-Schluessel-zu-Smartphone-Daten-163270.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Januar 25, 2016, 13:25:03
http://www.heise.de/mac-and-i/meldung/Apple-stopft-Captive-Portal-Luecke-in-iOS-nach-Jahren-3081660.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Januar 29, 2016, 15:38:32
http://www.maclife.de/news/ios-app-store-hotpatches-sorgen-sicherheit-reissen-sicherheitsluecke-10074518.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 29, 2016, 18:08:33
„könnte die App, die ursprünglich keine weitreichenden Berechtigungen hatte, auf einmal zu einer Schnüffel-App werden.“

Stimmt das? Kann man einfach höhere Privilegien erreichen, ohne das der User den Zugriff z.B. auf Kontakte erlauben muss?
Die herkömmlichen Grenzen für Apps sind doch trotzdem intakt?

Klar, Böses geht immer irgendwie. Aber Apple analysiert die Apps ja auch nicht wirklich.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Februar 14, 2016, 14:44:42
64bit-iPhones kann man mit einem einfachen Tip unbenutzbar machen - einfach das Datum auf den 1.Januar 1970 stellen und ausschalten.
Danach bleibt jeder Boot-Vorgang hängen.
http://arstechnica.com/apple/2016/02/64-bit-iphones-and-ipads-get-stuck-in-a-loop-when-set-to-january-1-1970/

Einzige Abhilfe ist, den Akku völlig leer laufen zu lassen oder iPhone aufzuschrauben und kurz das Verbindungskabel zum Akku abzustecken.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juli 05, 2016, 18:56:08
Androiden mit Qualcomm-Prozessor (sehr viele also) haben einen schweren Fehler in der Verschlüsselung. Patches gibt es zwar, aber wie immer dauert es ewig, bis sie beim User landen.
http://www.heise.de/newsticker/meldung/Heftiger-Schlag-fuer-Android-Verschluesselung-3254136.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am August 11, 2016, 23:24:05
Warum schafft ein Zweimann-Team ein wesentlich sichereres Android als Google? Fehlt es etwa am Willen?

Zitat
A startup on a shoestring budget is working to clean up the Android security mess, and has even demonstrated results where other "secure" Android phones have failed, raising questions about Google's willingness to address the widespread vulnerabilities that exist in the world's most popular mobile operating system.
http://arstechnica.com/security/2016/08/copperhead-os-fix-android-security/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 04, 2016, 15:37:14
Nicht mal Updates für zwei Jahre alte Flaggschiff-Smartphones
http://arstechnica.com/gadgets/2016/08/why-isnt-your-old-phone-getting-nougat-theres-blame-enough-to-go-around/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 18, 2016, 23:27:38
700 Millionen Billig-Android-Handys mit übler Spionagesoftware:
https://www.heise.de/security/meldung/Adups-China-Billighandys-spionieren-ihre-Nutzer-ab-Werk-aus-3486446.html

Verstecktes Rootkit mit allen Möglichkeiten auf diversen Android-Phones:
http://arstechnica.com/security/2016/11/powerful-backdoorrootkit-found-preinstalled-on-3-million-android-phones/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 20, 2016, 15:42:54
http://www.giga.de/downloads/ios-10/news/ios-sicherheitsluecke-gewaehrt-zugriff-auf-fotos-und-kontakte/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am März 13, 2017, 00:37:51
In zwei ungenannten Unternehmen wurde Android-Phones mit vorinstallierter, übelster Malware gefunden. Zahlreiche Marken sind betroffen. Wie und wo die (verschiedene) Malware installiert wurde, ist nicht bekannt.

https://arstechnica.com/security/2017/03/preinstalled-malware-targets-android-users-of-two-companies/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Jochen am März 23, 2017, 17:08:11
Falls noch nicht bekannt?

http://www.spiegel.de/netzwelt/netzpolitik/wikileaks-enthuellung-vault-7-so-soll-die-cia-auf-apple-geraete-zugreifen-a-1140065.html

Jochen
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 27, 2017, 22:04:07
https://www.heise.de/mac-and-i/meldung/Erpressung-durch-iCloud-Fernloeschung-Wie-Sie-Ihr-iPhone-schuetzen-3663802.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am April 12, 2017, 19:51:13
https://www.golem.de/news/broadcom-sicherheitsluecke-vom-wlan-chip-das-smartphone-uebernehmen-1704-127287.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Mai 04, 2017, 19:10:32
Gibt es den Master-Fingerabdruck, der jedes Gerät entsperren kann? Wird James Bond es schaffen, ihn dem bösen russischen Hackern abzuluchsen?

Nein, es ist kein Film. Und es geht auch nicht mit allen Geräten, aber angeblich überraschend vielen.
https://www.heise.de/tr/artikel/Kuenstlicher-Fingerabdruck-entsperrt-fremde-Smartphones-3697183.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Mai 05, 2017, 18:58:45
Über 200 Android-Apps können nach für Menschen unhörbaren Audio-Signalen in der TV-Werbung lauschen - eine perfide Methode um die Leute geräteübergreifend zu tracken.
https://arstechnica.com/security/2017/05/theres-a-spike-in-android-apps-that-covertly-listen-for-inaudible-sounds-in-ads/

Und das sind nur die Apps, die eine bekannte Software verwenden. Ob und wie Werbetreibende diese Technik nutzen, bleibt offen.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juli 19, 2017, 14:16:21
Veraltetes Android voller bekannter Lücken, nicht aktualisierbar (?), Hauptsache billig. Jetzt verklagt die Verbraucherzentrale den Verkäufer Mediamarkt.
http://www.sueddeutsche.de/digital/it-sicherheit-unsicheres-smartphone-verbraucherzentrale-klagt-gegen-media-markt-1.3592816

 
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am August 25, 2017, 13:05:13
https://www.heise.de/mac-and-i/meldung/Sicherheitsforscher-AccuWeather-App-schickt-iPhone-GPS-Daten-weiterhin-an-Dritte-3812241.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am August 25, 2017, 14:29:21
Die Überschrift ist wieder mal reißerisch falsch und lässt die üblichen Hater über Apple schimpfen.
Es klingt so, als ob die App trotz abgeschaltetem Ortungsdienst die Positionsdaten (GPS) trotzdem bekommt und dann weiterreicht. Das wäre eine erheblicher Bug in iOS, wenn die Sicherheitsfunktion umgangen würde. Wird sie aber nicht. Die App bekommt bei abgeschalteter Ortungsfunktion vom System keine Information über die Position.
Die App macht nun etwas anderes: Sie schickt den WLAN-Namen an einen Server und der hat eine Datenbank von bekannten WLANs mit zugehöriger Position. Schlimm genug, keine Frage, aber kein Fehler in iOS.

Die Überschrift lautet:
"App schickt iPhone-GPS-Daten an Dritte"
Korrekt wäre aber:
"App schickt WLAN-Name an Dritte, die damit eine Positionsbestimmt machen"

Es fehlt somit in den Datenschutzeinstellungen eine Option wie "WLAN-Namen-Zugriff", aber auch "Zugriff auf Helligkeitssensor" oder "Beschleunigungssensor" etc.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am August 25, 2017, 16:42:24
Flieger, was Du beschreibst ist der alte Stand.

Es geht um die neue AccuWeather-Version, die:
a) nicht mehr WLAN-Name und MAC-Adresse erfassen soll
b) aber die GPS-Daten, sofern freigegeben, weiterhin mit einem (jetzt anderen) Vermarkter teilt

Dafür habe ich null Verständnis, der einzig saubere Weg wäre gewesen, die Daten gar nicht weiterzugeben. Muss der User selber wissen, ob er der Firma vertrauen will, insbesondere auch nach ihrem an Verarschung grenzenden Statement vor der neuen Version:
https://daringfireball.net/2017/08/wading_through_accuweathers_bullshit_response
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 19, 2017, 14:40:11
Wenn man der Installation eines bestimmten Profils zustimmt:
http://www.zdnet.de/88312627/ios-trojaner-laesst-iphones-und-ipads-abstuerzen/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 19, 2017, 15:25:33
Habe heute ein neues iPad in Betrieb genommen.
Da bekommt man eine Mail, in der man informiert wird, dass die eigne Apple ID mit einem neuen Gerät verwendet wurde inkl. Datum und Uhrzeit. So weit, so gut - nur ist die Uhrzeit in einer deutschen Mail ohne Witz im Format PDT, also Pacific Day Time, also da, wo Apple haust.

Ist jetzt kein großes Ding, aber es gibt sicherlich Leute, die so etwas eher verunsichert.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: fränk am September 19, 2017, 15:35:44
Von diesen Mails habe ich, in den letzten zwei Wochen, dutzende bekommen. Auf allen Geräten und immer zwischen zwei und vier nacheinander.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 05, 2017, 12:40:37
https://www.heise.de/mac-and-i/meldung/Sicherheitsforscher-Populaere-iPhone-Apps-schuetzen-Login-Daten-unzureichend-3877415.html
http://www.zeit.de/digital/datenschutz/2017-10/iphone-ios-apps-hacker-verschluesselung/komplettansicht
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 26, 2018, 09:06:35
http://www.chip.de/news/Informationen-ueber-Anrufe-und-SMS-Nutzer-jahrelang-von-Facebook-App-ausgespaeht_136566088.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 26, 2018, 18:56:28
https://m.heise.de/newsticker/meldung/Google-Dienste-laufen-nicht-mehr-auf-Smartphones-ohne-Zertifikat-auch-Custom-Roms-betroffen-4003988.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am April 17, 2018, 12:13:01
Ich ernte immer Unverständnis mit meinem langen iPhone-Passcode. Das wird auch so bleiben, aber ich fühle mich bestätigt:
https://motherboard.vice.com/en_us/article/59jq8a/how-to-make-a-secure-iphone-passcode-6-digits
https://www.heise.de/mac-and-i/meldung/GrayKey-iPhone-Entsperr-Tool-knackt-sechsstellige-PIN-in-11-Stunden-4025531.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am April 17, 2018, 13:18:50
10 Stellen sind aber ganz schön anstrengend:
https://www.mactechnews.de/news/article/4-6-8-10-Stellen-Wie-lange-es-dauert-den-PIN-Code-des-iPhones-zu-erraten-169350.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am April 17, 2018, 13:44:10
Ich nutze mittlerweile auch Touch-ID, klar. Das Passwort muss man ja nur noch ab und zu eingeben.
Ich bin aber auch keiner, der andauernd das Handy aus der Tasche holt. Insofern war es vor Touch-ID auch nicht so schlimm. Alles Gewohnheitssache.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am April 17, 2018, 15:22:11
Viele Hersteller von Android-Geräten täuschen Sicherheitsupdates nur vor:
http://www.sueddeutsche.de/digital/it-sicherheit-android-nutzer-hacken-sich-selber-1.3947427
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 10, 2018, 12:34:37
The GuardianApp team has discovered that a growing number of iOS apps have been used to covertly collect precise location histories from tens of millions of mobile devices, using packaged code provided by data monetization firms. In many cases, the packaged tracking code may run at all times, constantly sending user GPS coordinates and other information:
https://guardianapp.com/ios-app-location-report-sep2018.html

Jetzt auch bei:
https://www.heise.de/mac-and-i/meldung/Analyse-Populaere-iPhone-Apps-uebertragen-Aufenthaltsort-an-Werbefirmen-4159452.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 10, 2018, 23:03:11
Ich verweigere grundsätzlich allen Apps die Ortungsdienste und schalte sie nur im Bedarfsfall ein. Ist natürlich aufwendiger.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am September 11, 2018, 07:56:37
Genau hier wäre doch mal ein idealer Betätigungsplatz für die DSGVO.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am September 21, 2018, 10:51:20
https://www.sueddeutsche.de/digital/datenschutz-bei-google-app-entwickler-duerfen-weiter-bei-gmail-mitlesen-1.4139186
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am September 21, 2018, 15:41:46
Android ist so oder so die reinste Spyware, GMail genauso und wenn wundert das? Google lebt davon und nur davon.

Wenn man nicht gerade mit Custom Roms zurecht kommt/kommen will, ist man auf Gedeih und Verderben Apple ausgeliefert. Oder man lässt das Smartphone gleich bleiben.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Oktober 10, 2018, 11:06:04
Android & iOS Verdionen älter als 1 Woche:
https://m.heise.de/security/meldung/Kritische-Sicherheitsluecke-gefaehrdet-Milliarden-WhatsApp-Nutzer-4186365.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Oktober 10, 2018, 13:07:56
Die App gefährdet auch ohne bekannte Lücke Milliarden von Nutzern bzw. deren informationelle Selbstbestimmung. Haut weg den Dreck.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Oktober 25, 2018, 14:02:40
Fiese Masche:
Start-Button mit winzigem Hinweis auf Kaufvorgang verführt User zum Drücken. Nun erscheint der Kaufdialog, in Panik drückt der User den Home-Button… ist nun aber der drückende Finger für Touch-ID freigegeben, wird der Kauf bestätigt. Und schon hat man ein irrsinnig überteuertes Abo am Hals.
https://www.forbes.com/sites/johnkoetsier/2018/10/04/app-scams-cheap-utility-apps-are-stealing-260-2500-or-even-4700-each-year-per-user/amp/

Nun kann man sich zwar bei Apple beschweren und kündigen, aber wenn ein paar Prozent das nicht machen, hat es sich schon gelohnt.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 29, 2018, 06:20:55
https://www.apfelpage.de/news/iphone-passcode-knackendrivesavers-bietet-teures-entsperr-tool-fuer-jedermann-an/
https://www.heise.de/mac-and-i/meldung/Datenrettungsfirma-will-Smartphones-fuer-Privatpersonen-entsperren-4234816.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 30, 2018, 19:25:07
https://www.sueddeutsche.de/digital/app-tracking-facebook-1.4269556
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 21, 2019, 20:18:26
Neues Programm, neue Probleme, der endlose Lauf der Dinge…
https://www.heise.de/mac-and-i/meldung/Apples-Kurzbefehle-App-Shortcuts-koennen-geschuetzte-iPhone-Dateien-abgreifen-4283745.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Januar 22, 2019, 08:52:43
OK, also eine Lücke in der Sandbox. Ähnliche Probleme gab es bei Skripten auf Shared-Hosting-Webservern.
Sollte sich ohne Probleme schnell beheben lassen.

Aber zu Shortcuts:
Das Programm sieht auf den ersten Blick recht interessant aus. Man erhält die Möglichkeit, Arbeitsabläufe zu automatisieren. Ähnlich wie mit Automator, Applescript und Shellskripten auf dem Mac. Ich habe mich damit noch nicht befasst. Hat sich das schon mal jemand angeschaut und lohnt sich das?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 22, 2019, 14:00:14
Lohnt sich sicherlich, wenn man Ideen für „Automaten“ hat. Vorher gab es ja schon die App Workflow, die Apple aufgekauft hatte.
Leider deckt Kurzbefehle noch nicht alle Dinge ab und ist eng an Siri gebunden. Um etwa einen Wecker zu erstellen, soll man Siri aktivieren.

Ich denke mal für Tüftler ist vieles möglich. Die breite Masse wird wohl eher eine Bogen darum machen, wie auch um Automator am Mac.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Januar 22, 2019, 15:12:30
Um etwa einen Wecker zu erstellen, soll man Siri aktivieren.

Sicher? ich hatte es so verstanden, dass es zwar hauptsächlich auf Siri getrimmt/ausgerichtet ist, dass man aber auch ohne Siri Aktionen erstellen kann, die dann über ein anderes Menü (Share?) aufrufbar sind.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 22, 2019, 16:30:51
Hatte es eben ausprobiert… also ja, ich bin sicher. „Aktiviere Siri, um diese Einstellung zu verwenden.“
Vieles geht auch ohne Siri, der Wecker jedenfalls nicht.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 30, 2019, 22:17:42
Via Enterprise-Zertifikat kann man am Appstore vorbei Apps auf iOS installieren. Gedacht ist das für Firmen, die ihren Mitarbeitern intern gemeinte Programme installieren können oder zu Testzwecken.
Doch Facebook nutzte das als Lücke zum Ausspähen und bezahlte User dafür, wenn sie das zulassen.

Jetzt hat Apple Facebook alle Enterprise-Zertifikate entzogen. 👍 So zumindest wird diese Apple-Äußerung interpretiert:
Zitat
Any developer using their enterprise certificates to distribute apps to consumers will have their certificates revoked, which is what we did in this case to protect our users and their data.
Dadurch müssten dann auch Facebook-Angestellte alles aus dem Appstore ziehen.

https://www.recode.net/2019/1/30/18203231/apple-banning-facebook-research-app
https://www.heise.de/mac-and-i/meldung/Apple-stoppt-Vertrieb-von-Facebooks-Datensammel-App-4293390.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 30, 2019, 23:47:53
Google macht dasselbe:
Sie lockten mit Gutscheincodes.

Poste ich nur zur Vollständigkeit.

Bevor Ihr klickt:
Techcrunch gehört zu Oath-Gruppe, bis vor kurzem noch unter Yahoo firmierend. Yahoo ist also nun auch nur eine Oath-Seite. Oath heißt Schwur bzw. Eid, was sie da schwören, weiß ich nicht. Die Oath-Gruppe wiederum gehört Verizon.
Auf jeden Fall wird man dort mit dem kompliziert möglichsten Dialog zu Datenfreigabe-Einstellungen konfrontiert. Nach zig Klicks weiß ich immer noch nicht, wie man das Tracking verhindern kann. Offensichtlich richtet sich das nur an Leute mit Account, die sich anmelden wollen. Und natürlich für jede Oath-Seite einzeln.
Das geht einfacher mit einem Tracking- und Werbeblocker. Danke für nichts.

https://techcrunch.com/2019/01/30/googles-also-peddling-a-data-collector-through-apples-back-door/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Januar 31, 2019, 23:01:33
Und nun wurden auch Google die Enterprise-Zertifikate entzogen.
https://9to5mac.com/2019/01/31/apple-developer-certificate-google/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Februar 01, 2019, 10:03:52
Das ging schnell:
https://www.heise.de/mac-and-i/meldung/Nach-Trackingvorwurf-Google-und-Facebook-bekommen-Apple-Zertifikate-zurueck-4294367.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Februar 07, 2019, 10:16:48
https://www.giga.de/apps/app-store/news/iphone-apps-zeichnen-heimlich-deinen-bildschirm-auf-das-sind-die-uebeltaeter/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Februar 23, 2019, 22:40:15
https://www.sueddeutsche.de/digital/apps-daten-facebook-privatsphaere-1.4342514
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Mai 31, 2019, 18:17:38
Hintergrundaktualisierung als Einfallstor für unbemerktes Tracking:

https://www.washingtonpost.com/technology/2019/05/28/its-middle-night-do-you-know-who-your-iphone-is-talking/

Man sollte allen Apps, wo man das nicht benötigt, diesen Weg versperren. Einstellungen/Allgemein/Hintergrundaktualisierung
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Juni 01, 2019, 09:07:55
Die Frage ist nur, ob beim Abdrehen der Hintergrundaktualisierung die Trackingdaten gar nicht oder einfach nur später gesendet werden...
Es ist schon eine Seuche.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juni 01, 2019, 12:28:23
Klar, aber immerhin gibt es den Vorteil, dass man selbst entscheiden kann, wann die Daten gesendet werden... vielleicht werden Bewegungsprofile schwieriger zu erstellen, falls die App wirklich beendet wurde.
Zum anderen sehe vor allem Apps, die man nicht mehr oder fast nie nutzt so weniger als gefährlichen Ballast. Trotzdem lösche ich sie bzw. lade auch immer weniger. Was ja den Entwicklern auch nicht hilft. Obwohl ich den Wunsch verstehe, mehr über das Benutzen der App zu erfahren, ist das Verhalten vieler Programmierer unannehmbar, zur Krönung wird dann nicht mal datenschutzkonform aufgeklärt.

Gewiefter Druck zu inApp-Käufen und ersteigerbare Suchpositionierung, Datenspitzelei, Schrottapps ohne Ende etc.pp. Spaß macht mir das schon lange nicht mehr.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Juni 02, 2019, 08:41:27
Da hast Du natürlich Recht. Ich wollte nur darauf hinweisen, dass das Abschalten der Hintergrundaktualisierung leider nicht vollständig gegen die Problematik hilft. Es könnte sich sonst jemand zu Unrecht im Sicheren wähnen.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juni 06, 2019, 21:39:42
https://www.heise.de/mac-and-i/meldung/Unsichere-Verbindung-Viele-iPhone-Apps-schalten-Apples-Sicherheitstechnik-ab-4441450.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Juni 10, 2019, 15:12:48
Und einmal mehr ist Tracking einer der Gründe, warum nicht flächendeckend verschlüsselt wird. :(
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 19, 2019, 23:58:13
Mittlerweile behoben, wenn den die Androids alle das Update bekämen... Kamera, Mikro, alles offen für Malware, trotz Sperren...
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 29, 2019, 17:05:39
https://www.sueddeutsche.de/digital/hacking-handynetz-schutz-rcs-sms-telekom-vodafone-1.4703547
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 23, 2019, 15:31:49
https://www.golem.de/news/millionenfach-verbreitet-messenger-app-totok-soll-fuer-die-emirate-spionieren-1912-145715.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 10, 2020, 09:23:09
https://www.macrumors.com/2020/03/09/sensor-tower-vpn-app-data-collection/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 16, 2020, 18:51:47
https://www.mactechnews.de/news/article/Sicherheitsforscher-Populaere-Apps-schnueffeln-in-der-Zwischenablage-von-iPhone-und-iPad-herum-174598.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am März 17, 2020, 08:03:43
Wie zu erwarten ist, sind die üblichen Verdächtigen dabei.
Wäre auch interessant zu wissen, welche Apps unter Android, macOS, Windows und Linux das ebenso machen. Denn das eine App auf die Zwischenablage zugreifen kann ist doch überall so.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 26, 2020, 23:54:21
https://www.heise.de/mac-and-i/meldung/Bericht-Zoom-App-fuer-iOS-reicht-Daten-heimlich-an-Facebook-weiter-4691613.html


Update:
https://www.heise.de/mac-and-i/meldung/Zoom-beendet-Datenweitergabe-der-iOS-App-an-Facebook-4692815.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am April 02, 2020, 11:59:14
https://www.heise.de/security/meldung/Videokonferenz-Software-Ist-Zoom-ein-Sicherheitsalptraum-4695000.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Mai 03, 2020, 18:14:47
"Hintertür mit Telefonfunktion":
https://www.golem.de/news/tracking-xiaomi-verteidigt-ueberwachung-von-smartphonenutzern-2005-148228.html
https://www.teltarif.de/xiaomi-datenschutz-browser/news/80484.html

Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Mai 07, 2020, 15:55:21
Eigentlich kann man nur noch iPhones kaufen oder eben ein Android rooten und Open Source drauf. Ob die Hardware sauber ist, weiß man natürlich dann auch noch nicht.

Aber wie immer ist es den meisten Menschen eh schon wurscht.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juni 26, 2020, 11:34:49
warum braucht die Zwischenablage einer TastaturApp Internet??

Kann man Computer nicht so konstruieren, dass Inhalte der Zwischenablage, ausschließlich dann aufgerufen wird, wenn der Nutzer den Befehl "Zwischenalblage kopieren" erteilt? Oder ist das gaaaanz naiv?
https://www.mactechnews.de/news/article/iOS-14-deckt-auf-TikTok-und-andere-spionieren-staendig-das-Clipboard-aus-175336.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juni 26, 2020, 21:07:48
Verstehe auch nicht, warum jedes Programm in die Ablage schauen darf. Das Problem ist ja seit längerem bekannt.
Safari hat unter iOS nicht mal einen Passwortgenerator. Also werden die meisten User in Notizen oder ähnlich ein Passwort anlegen und reinkopieren.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: MacFlieger am Juni 27, 2020, 10:56:09
Kann man Computer nicht so konstruieren, dass Inhalte der Zwischenablage, ausschließlich dann aufgerufen wird, wenn der Nutzer den Befehl "Zwischenalblage kopieren" erteilt?

Kann man sicherlich. Es gibt ein paar Programme, die dann nicht mehr funktionieren, aber für die könnte man auch eine Berechtigung einbauen, selbstständig auf die Zwischenablage zugreifen zu dürfen. Dann könnte man für diese einzeln die Berechtigungen erteilen.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juni 28, 2020, 15:00:24
https://t3n.de/news/14-sicherheitswarnungen-ios-1295402/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juni 28, 2020, 18:07:06
Ich weiß, TikTok ist v.a. bei jungen Menschen beliebt, aber überrascht das noch Jemanden? Skandale  gab es genug.
Apple und Google sollten eine Exempel statuieren, raus aus den Stores damit. Und alle, die sonst so schnüffeln, hinterher.

Bei TikTok dürften verschiedene Länder sowieso einen Riegel vorschieben.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juli 11, 2020, 18:26:16
https://www.sueddeutsche.de/digital/iphone-spotify-facebook-absturz-1.4963799
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am März 19, 2021, 19:59:58
https://www.golem.de/news/datenschutz-etliche-mail-apps-lesen-e-mails-und-passwoerter-mit-2103-155106.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am März 21, 2021, 10:10:59
Seit die App-Anbieter im Appstore diese Privacy-Label angeben müssen, kann man wenigstens vergleichen, was sie publik machen. Hier werden die Angaben ausgewertet, aber nur daran, wie viel an Daten an Dritte  weitergegeben werden. Wer im eigenen Haus schlimme Sachen macht, weiß man ja nie so genau.

https://blog.pcloud.com/invasive-apps/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am April 01, 2021, 11:11:37
https://www.mactechnews.de/news/article/Betrugssoftware-im-App-Store-iPhone-Nutzer-verliert-ueber-600-000-Dollar-Apple-reagiert-177338.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am April 01, 2021, 14:25:30
Da kommt also einer mit einem Logo und Namen, die mit einem Hardware-Wallet identisch sind und kommt damit durch...
Gebt mal Trezor in eine Suchmaschine ein, erster Treffer. Das ist wohl zu viel verlangt von den Appstore-Prüfern.

Das immer mal was durchrutschen kann, ist klar. Aber egal, welchen Suchbegriff man im Appstore eingibt, es kommen auch zahlreiche Treffer, die so ähnlich sind wie das Gesuchte, von Schrott bis Abzocke. Das ist seit Jahren so und Apple kümmert sich nicht.
Ehrlich gesagt halte ich den Appstore für deutlich unsicherer als bei Entwicklern direkt das Programm herunterzuladen. So mache ich das am Mac schließlich seit vielen Jahren.

Ich weiß, im iOS-Appstore geht es natürlich um viel mehr User, nur ist die Prüfung nicht viel wert. Die Entwickler dagegen geraten etwas in den Hintergrund. Wer checkt schon bei jeder App den Anbieter?
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Juni 16, 2021, 10:12:13
Die uralte GEA1-Verschlüsselung des uralten Mobilfunkstandards GPRS schaffte es in modernste Smartphones. Bei Apple war damit mit 14.5 erst Schluss, aber 6S und SE1 müssen noch auf iOS 15 warten.
https://www.sueddeutsche.de/wirtschaft/handy-gprs-verschluesselung-1.5323228

Die Lücke ist ja schon lange bekannt, wenn ich mich nicht irre. Früher wurde großteils auch gar nicht verschlüsselt.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Juni 19, 2021, 16:14:55
Datenbank zum Datensendeverhalten von Android Apps:
https://appcheck.mobilsicher.de
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Oktober 07, 2021, 21:25:38
https://www.mactechnews.de/news/article/Studie-Anti-Tracking-in-iOS-haelt-nicht-was-Apple-verspricht-178663.html

https://www.kuketz-blog.de/db-navigator-ein-fall-fuer-die-datenschutz-aufsichtsbehoerde/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Oktober 26, 2021, 15:42:31
https://www.heise.de/news/Populaere-Apps-leaken-Bewegungsprofile-6228973.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am Oktober 26, 2021, 18:41:32
Apple und Google sollten diese Apps sofort löschen, die Entwickleraccounts sperren und die Hersteller öffentlich brandmarken.
Die Behörden sollten unverzüglich tätig werden und empfindliche Strafen verhängen.

Wird das passieren? Ich denke nichts davon.
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am November 02, 2021, 18:07:09
https://www.notebookcheck.com/Apples-verbesserter-iPhone-Datenschutz-kostet-Facebook-Twitter-co-fast-10-Milliarden-US-Dollar.576679.0.html
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am November 02, 2021, 19:38:37
Beste Tech-Nachricht der Woche!
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: radneuerfinder am Dezember 14, 2021, 09:58:06
https://macnotes.de/2021/12/14/ios-152-app-datenschutzbericht-einrichten-so-gehts/
Titel: Re: Sicherheit von iOS und Android (c't 20/10)
Beitrag von: Florian am März 05, 2022, 01:21:21
100 Mio. Samsung Phones haben eine unsichere Implementierung der Hardware-Verschlüsselung.
https://www.schneier.com/blog/archives/2022/03/samsung-encryption-flaw.html