Das iPhone, der Jailbreak und die Sicherheit

[.david]

1. Alles was hier beschrieben wird, setzt den physischen Verlust des iPhones voraus. Das ist der Grund, warum keine wie auch immer gearteten sensiblen Daten auf mobile Geräte gehören. (zudem: wer den Gerätecode nicht aktiviert, muss sich aber auch über nichts wundern)

2. Push: der Heise Artikel ist komplett unbrauchbar. Push selbst ist nicht Bestandteil des Unlocks, erst mit dem Zusatzprogramm pushfix aus Cydia wird das zum Problem und auch nur in Sachen Datenschutz, nicht Sicherheit vor Zugriffen.

3. Das iPhone ist - wie auch alle anderen Mobilen Geräte - unsicher, wenn es in falsche Hände fällt. Der Jailbreak ist nur die unmittelbare Methodik, die auch aufzeigt, dass Apple diesbezüglich noch dazulernen muss. Und das wird auch geschehen.

4. Die einzig sichere Datenhaltung findet auf Servern statt, adäquate Absicherung vorausgesetzt!

 

[X61t]

Sehe ich genauso, mit Ausnahme von Punkt 2:

Ein Freund will dich einladen, hat deine Telefonnummer nicht und lässt sich diese von nem anderen Freund per ICQ zuschicken - damit er die auch schnell bekommt hat er Push auf seinem Hacktivierten (also mit Pushfix versehenen) iPhone angeschaltet. Er bekommt nun Deine Telefonnummer aufs iPhone gepusht.
Du kriegst davon gar nichts mit. Trotzdem kriegen alle, die diesen komischen 'fix' installiert haben deine Telefonnummer zugeschickt.

Ist natürlich jetzt ein extremes Beispiel, aber genau das ist das Problem. Man kriegt es nicht mit, da man nicht weiß wer jetzt diesen pushfix benutzt und wer nicht… und viele gar keine Ahnung haben was sie damit für Schaden anrichten können, wenn Sie sich das ganze installieren ohne nachzudenken.

Daran habe ich noch gar nicht gedacht. Also kann im Grunde jeder betroffen sein der Leute mit iPhone kennt und weiß es nicht einmal. Da werde ich in meinem Bekanntenkreis sehr gut aufpassen wer sein Gerät gehackt hat.

@.david:

1. Nein, die Push-Problematik betrifft jeden der Bekannte mit iPhone hat. Auch wenn man selbst kein Gerät besitzt, siehe Beispiel von Holger.

2. Ach "nur" ein Datenschutzproblem... na dann kann man es ja vernachlässigen...

3. Was mal geschehen könnte/wird weiß niemand. Daher berichtet man auch über aktuelle Geschehnisse. Und nein andere Business-Smartphones geben ihre Daten nicht Preis wenn der Speicher verschlüsselt wurde. Deine Aussage ist also falsch. Eben das ist ja der Sinn einer Verschlüsselung. Dass sie wirkungslos ist, ist der hier völlig zu Recht angeprangerte Skandal. Denn der Nutzer muss sich auf die Wirksamkeit verlassen können, sonst kann er sich das Verschlüsseln sparen. Apple selbst wirbt mit der Sicherheit der Verschlüsselung auf seiner Website.

4. Was für ein Unsinn. Server werden ebenso gehackt, Datenübertragungen werden abgehört, der Hoster hat vollen Zugriff auf Deine Daten.

 

[Cord]

Bei Punkt 2 kann ich mir ein leichtes Grinsen nicht verkneifen: irgendwie muß Apple ja für jedes iPhone eine eindeutige Zuordnung zu den Push Notifications schaffen. Wenn das in Verbindung mit der Aktivierung über die Apple-Serve läuft und bei diesem Vorgang ein einzigartiges Zertifikat für das betreffende Gerät erstellt wird ist das meiner Meinung nach ok und völlig legitim. Dumm nur, wenn so ein Zertifikat mehrfach auf verschiedenen Geräten eingesetzt werden - die sind dann halt alle Empfänger für die Push Notifications für dieses Zertifikat. Dumm gelaufen halt... letztendlich sehe ich auch hier kein wirkliches Sicherheitsproblem, da es wieder eine Folge dessen ist, was der User mit seinem Gerät macht. Wenn man Zertifikate manipuliert, darf man sich nicht wundern wenn das Ergebnis nicht unbedingt das ist, was man erwartet.

Hm, da brauche ich jetzt mal Hilfe. Ich habe das nämlich anders verstanden: Jemand der sein iPhone entsperrt, dennoch Push will, nimmt dazu irgendeneinen Code, z.B. meinen. Fortan bekommt er auch Nachrichten, die eigentlich für mich gedacht sind, obwohl ich mein iPhone ganz normal benutze. Den Nachteil hat also irgendein "Normalkunde".

Habe ich das falsch verstanden?

 

[.david]

Das ist falsch. Es gibt beim pushfix nur einen einzigen verbreiteten Token. Den allerdings alle haben, die pushfix installiert haben. Abhilfe: entfernen des pushfix.

Push wird auf absehbare Zeit mit nicht offiziell aktivierten Geräten unmöglich sein.

 

[.david]

X61t: ich spreche von anderen Dingen als du, macht aber nix. Daher kannst du ruhig weiter Panik verbreiten...

Server = Hoster? Aha... Und werden alle gehackt? Ach so.

 

[X61t]

Alles was hier beschrieben wird

Völlig andere Dinge... ist klar

Edit: Ah wenn ich mir Deine Signatur ansehe verstehe ich warum Du die Problematik kleinreden willst.

 

[Apfelliebhaber]

Interessant. So was kann gerne öfters kommen. Wie wäre es mit einer Technik-Kolumne?

 

[iPd]

Ich besitze einen iPod Touch 2G ... Jailgebrocken

Stellt dies eine Gefahr dar?

Eher nicht.

 

[2410]

Die Guten und richtigen Firmen nutzen doch sowieso ein Blackberry ! Das sind die Sichersten Handys !! EIn iPhone ist was für 13 Jährige Kinder die Spielen wollen

 

[Bananenbieger]

Nur weil auch Dreizehnjährige auf das iPhone voll abfahren, ist das noch lange kein Spielzeug.

 

[Bananenbieger]

und viele gar keine Ahnung haben was sie damit für Schaden anrichten können, wenn Sie sich das ganze installieren ohne nachzudenken.

Was leider ein Makel des Menschen ist, nicht des iPhones. Die ganzen "Sicherheitslücken" (oder zumindest 95% davon) des iPhones basieren darauf, dass man vorher sämtliche Sicherheitsmechanismen des iPhones deaktiviert. Und das kann nur der Eigentümer, sofern er das iPhone vorher mit einem Code versehen hat.

Wenn man selber an der Technik ohne genügendes Fachwissen herumfummelt, darf man sich nicht wundern, wenn da ungeplante Ergebnisse herauskommen.

 

[X61t]

Die Guten und richtigen Firmen nutzen doch sowieso ein Blackberry ! Das sind die Sichersten Handys !! EIn iPhone ist was für 13 Jährige Kinder die Spielen wollen

Das sicherste Handy ist eines das nur SMS und Telefonie kann. Wieso werden dann in Firmen nicht nur solche Geräte eingesetzt?

 

[Bananenbieger]

...weil in der Geschäftswelt heute fast alles über eMail und nicht über SMS läuft.
Ebenso wird mit Groupware-Lösungen für Termin- und Adressverwaltung gearbeitet.
Und dazu braucht man halt ein Smartphone, sonst nützen diese Systeme recht wenig.

 

[X61t]

So ist es. Dass Blackberrys generell sicher seien ist ein Gerücht. Erst letztens gab es nette BB-Schlagzeilen als ein Provider mit einem angeblichen Speed-Patch seine Kunden ausspionierte: http://www.heise.de/mobil/Performan...ls-Schnueffelware--/newsticker/meldung/142198

Bei Symbian dagegen signierte man freundlicher Weise einen Trojaner: http://www.heise.de/mobil/Symbian-F...se-Handy-Trojaner--/newsticker/meldung/142225

Es gibt also überall Sicherheitslücken und es wird vermehrt Angriffe geben in den nächsten Jahren, und zwar auf alle mobilen Plattformen.

 

[Bananenbieger]

Angie und Barack nutzen auch Smartphones. Die sind allerdings leicht sicherer als das Durchschnittssmartphone.

 

[Phate]

Über die gespeicherten Dinge auf meinem iPhone habe ich mir auch schön öfter Gedanken gemacht.
Gestern noch, hab ich mit 2 Freunden gesprochen: Beide nutzen das App "iControl" und sind davon begeistert. Sie hatten sogar sogar ihre TAN-Listen im iPhone gespeichert und konnten von unterwegs fleißig online-banken. "Das App ist ja Passwortgeschützt, die Daten werden verschlüsselt übertragen - was soll passieren..."

Ich bin alles andere als ein an Paranoias leidender Mensch und habe mit Online Banking überhaupt kein Problem, aber diese Informationen auf meinem iPhone speichern? An wen werden die Daten übermittelt? Nur zur eigenen Bank? Zu einem Server des App-Anbieters, der die Anmeldung dann bei der Bank durchführt?

Vielleicht ist das auch völlig unproblematisch bei dieser App und ich mache mir umsonst einen Kopf, aber zumindest im iTunes Store konnte ich diese Information nicht finden. Und bei solch sensiblen Daten gehört da meiner Meinung schon eine ausführlichere Beschreibung dazu.

Zum Jailbreak ist schon so ziemlich alles gesagt, finde ich. Jeder, der ihn nutzen will, soll es gerne machen. Nur muss sich derjenige auch bewusst machen, welche Qualität dieser Hack hat, was dadurch möglich wird.
Ich habe den Eindruck, dass für viele der Jailbreak zu einer Art Automatismus geworden ist - "das gehört zur iPhone-Inbetriebnahme halt dazu".
Ich verteufel den Jailbreak nicht, aber von vielen wird er völlig unkritisch genutzt und viele installieren völlig unkritisch App für App für App - und das kann zum Problem werden, darüber sollte man sich im Klaren sein.

 

[JamesLaFleur]

...
Ich habe den Eindruck, dass für viele der Jailbreak zu einer Art Automatismus geworden ist - "das gehört zur iPhone-Inbetriebnahme halt dazu"...

also diese aussage finde ich stark übertrieben... gibts denn irgendwo zahlen darüber, wieviele iphone-nutzer wirklich jailbreaken? der großteil der iphone-besitzer ist doch ganz einfach viel zu unfähig zu jailbreaken. ich würde ja mal behaupten, dass das nur bastler, nerds, script-kiddies, technophile, und wie man sie noch so bezeichnet, machen. der otto-normal-verbraucher ist dazu gar nicht in der lage bzw. weiß wahrscheinlich noch nicht mal was ist.

 

[Phate]

der otto-normal-verbraucher ist dazu gar nicht in der lage bzw. weiß wahrscheinlich noch nicht mal was ist.

Der DAU weiß vielleicht nicht, dass der Jailbreak Jailbreak heisst und was genau dieser macht erst recht nicht. Das man das iPhone freischalten kann/muss für einen SIM-Unlock und dass "man etwas machen muss" zum Ausführen anderer Programme als die aus dem AppStore - das dürften 100% der iPhone Nutzer wissen.
Und alle die das wollen, sich das selber aber nicht trauen, fragen einen Bekannten oder geben sogar Geld dafür aus.

Vielleicht führen prozentual wirklich gar nicht so viele iPhone-Nutzer einen Jailbreak durch, das kann sein. Ich habe schließlich keine Statistiken.
Trotzdem glaube ich, dass ihn viele vollkommen kritiklos aufspielen.

 

[Bananenbieger]

ich würde ja mal behaupten, dass das nur bastler, nerds, script-kiddies, technophile, und wie man sie noch so bezeichnet, machen. der otto-normal-verbraucher ist dazu gar nicht in der lage bzw. weiß wahrscheinlich noch nicht mal was ist.

Wenn ich mir ansehe, was wir für Threads zum Jailbreak hatten, dann sind durchaus viele Otto-Normal-Verbraucher mit einem Jailbreak unterwegs, die definitiv keine Ahnung davon haben, was eigentlich mit ihrem iPhone los ist.

Andersherum gehöre ich zwar zu den Technophilen, jedoch würde ich nicht mal im Traum daran denken, mein iPhone zu entfesseln. Immerhin habe ich mich bewusst für das geschlossene System iPhone entschieden und eine menge Geld dafür bezahlt. Da mache ich doch nicht den größten Sicherheitsvorteil durch einen Jailbreak zunichte.

 

[X61t]

Zum Online-Banking mit dem iPhone:

Ich kenne iControl nicht, aber iOutbank überträgt über HBCI. So lange man also nicht über fremde WLANs onlinebankt, sehe ich da kein Problem