• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Schwarz-Weiß in allen Schattierungen und Facetten, keineswegs nur traurig und düster - es gab eine Vielzahl an interessanten Einsendungen. Nun müsst Ihr entscheiden. Hier geht es lang zur Abstimmung --> Klick

Project Zero deckt schwere iOS Sicherheitslücke auf

Cohni

Ananas Reinette
Unvergessen
Registriert
04.08.11
Beiträge
6.206
Genau so geht es mir auch. Es ist ein normaler Vorgang. Und sie haben zeitlich angemessen reagiert. Thats it.

Erstaunlich finde ich allerdings tatsächlich das Ausmaß bzw. die einfache Anwendung der Lücke. Erinnert ein bisschen an den Jailbreak, der damals mit dem Besuch einer Website durchzuführen war.

So ein Szenario hätte ich tatsächlich nicht mehr erwartet.

Andererseits...solange Jailbreaks möglich sind...solange braucht man sicher nicht überrascht sein, dass diese auch durchgeführt werden.
 
  • Like
Reaktionen: Balkenende

Balkenende

Virginischer Rosenapfel
Registriert
12.06.09
Beiträge
11.455
Der letzte Satz trifft es voll.

Wo kann ich unterschreiben?
 
  • Like
Reaktionen: Cohni

saw

Königlicher Kurzstiel
Registriert
31.08.07
Beiträge
10.201
Jailbreaks möglich sind
Was ich nun wirklich nicht vergleichen kann,
die haben die Nutzer selber installiert,
die aktuelle Lücke hat über mehrere Jahre bestanden und würde immer noch bestehen, wenn Google nicht für Apple die Hausaufgaben gemacht hätte.

Na ja, fest steht, wenn es um Sicherheit geht, ist Apple nicht besser als Android,
da holen sich die Leute die Lücke selbst aufs Gerät über manipulierte apps, Bilder etc.
Hier reicht schon der Gang ins Internet mit einem iPhone 5 und der richtigen Seite um alle seine Daten preis zu geben. Scheint Apple aber weder zu stören, noch es nötig zu befinden die Nutzer zu warnen.


Das Software nie perfekt sein kann, mag ja sein,
aber das eine solche Lücke möglich war, zeigt das iOS wohl doch brocken bei Design zu sein scheint,
sonnst dürfte es nicht so einfach gewesen sein.

Wer will wissen, ob es nicht noch viel mehr solcher Lücken gibt die schon ausgenutzt werden?
Ich mein, 3 Jahre hat Apple von dieser auch nichts mit bekommen.... angeblich....
 
  • Like
Reaktionen: MichaNbg

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Ob diese Lücken nun „einfach“ oder „schwer“ auszunutzen sind, kann hier wohl keiner von uns beurteilen. ;)

Der User muss nur eine Webseite öffnen. Das zeigt aber nicht wie viel Aufwand und Gehirnschmalz in den Code geflossen ist.
 

Jan Gruber

Chefredakteur Magazin und Podcasts
AT Administration
AT Redaktion
Registriert
01.11.16
Beiträge
15.032
sonnst dürfte es nicht so einfach gewesen sein.

Lies dir mal den verlinkten Blogpost durch. Da war nichts "so einfach".

Zum Rest: Finde den Vergleich mit Jailbreak und der Lücke nicht soooo falsch. Jailbreak _nützt_ ne schwere Sicherheitslücke. Da installiert der Nutzer aktiv etwas (was er will), die Lücke kann aber auch für andere Dinge genutzt werden. Das war immer ein Problem mit nem Jailbreak. Man hat ein offenes Scheunentor, schreit laut "Hier rein" und alle wissen, dass sie offen ist - und man will sie nicht zu machen ;)

Allein an dem Beispiel wird mir auch eines klar: Offenbar ist es besser geworden. Die Jailbreaks nahmen ja deeeeeeutlich ab. Oder es interessiert einfach keinen mehr ;p
 
  • Like
Reaktionen: Nathea

Marcel Bresink

Filippas Apfel
Registriert
28.05.04
Beiträge
8.905
Was ich nun wirklich nicht vergleichen kann,
die haben die Nutzer selber installiert,

Das geht jetzt etwas durcheinander.

Wenn es eine Lücke im System gibt, so dass das Aufrufen einer Webseite genügt, um sowohl die Sandbox als auch die Nutzerprivilegien außer Kraft zu setzen, dann ist es nur eine Frage der Anwendung, ob man die Lücke benutzt, um Daten des Benutzers abzugreifen oder um die Sperre aus iOS zu entfernen, die das Ausführen fremder Software verhindert. Das ist nicht nur vergleichbar, die Lücke kann sogar identisch sein.

Der Jailbreak an sich ist keine Lücke. Aber er entfernt einen Sicherheitsmechanismus, der das Ausführen von mehr Software und damit auch bösartiger Software möglich macht. Von daher ist nach dem Jailbreak der Betrieb des Gesamtsystems unsicherer als vorher.
 

MichaNbg

Brauner Matapfel
Registriert
17.10.16
Beiträge
8.390
Die Diskussion um jailbreaks hijacked das Thema aber schon wieder. Und das ist eigentlich, dass iOS (und macOS) nicht annähernd so sicher ist, wie Apple gerne verkauft oder Fans meinen.

dazu auch passend diese Meldung:
https://m.spiegel.de/netzwelt/gadge...e-ein-mac-ist-leicht-zu-hacken-a-1281361.html

Auf der Defcon in Las Vegas demonstriert ein ehemaliger NSA-Hacker, wie sich Apples Schutz vor Schadsoftware ganz einfach aushebeln lässt. Die verbreitete Annahme, macOS sei sicherer als Windows, hält er für Unsinn.

[...]

"Traditionell war Windows leichter zu hacken", sagt er. "Aber heute ist Windows viel sicherer als macOS - auch wenn sich das Sicherheitsniveau in den vergangenen Jahren insgesamt deutlich erhöht hat. Ein Windows-10-Gerät mit Defender ist eine wirklich harte Nuss für Hacker. Im Vergleich dazu ist macOS ein ziemlich leichtes Ziel."

[...]
 
  • Like
Reaktionen: Mokotschombo

Jan Gruber

Chefredakteur Magazin und Podcasts
AT Administration
AT Redaktion
Registriert
01.11.16
Beiträge
15.032
Naja gut, macOS hat sich ja vor allem letztes Jahr einige wirklich heftige Patzer geleistet. Da hab ich ja auch mehrmals hart im Podcast dagegen geschossen - und wurde sehr schwer dafür kritisiert. Bei mobilen Betriebssystemen lass ich das aber tatsächlich (noch) nicht gelten. Gib mir zehn Androids von der Straße und ich mach dir neun in zehn Minuten auf - was vor allem an dem Update-Drama bei dem Betriebssystem liegt. Bei iPhones sind wir da noch seeeeehr weit weg. Der Hack jetzt ist eben auch alles andere als "einfach". Das ist wieder ne Überdramatisierung der Presse
 

MichaNbg

Brauner Matapfel
Registriert
17.10.16
Beiträge
8.390
Vor den Menschen auf der Straße die das Ding in die Hand nehmen (müssen) musst du auch keine Angst haben. Aber vor Gruppen mit den Ressourcen solche zwar schwer auszunutzenden dafür aber auch sehr schwerwiegenden Lücken auszunutzen ;)

Das Problem liegt ja vor allem darin, dass die Lücke über eine lange Zeit und etliche Generationen des OS bestand und ein simples ansurfen einer Webseite gereicht haben soll. Das kannst du dann vermutlich über ansonsten harmlose Apps, ausgebrachte Werbung, Social Media usw relativ leicht bewerkstelligen.

geht ja nur um den Nimbus, Apple Betriebssysteme wären soooo sicher. Nein, sind sie genau so wenig. Muss man als Nutzer halt wissen, verinnerlichen und realisieren, dass man auch als Apple Bessermensch nicht unverwundbar ist.


Kennst doch die ewige Diskussion, ob Sicherheitssoftware auf macOS notwendig ist oder das OS an sich sicher genug ... die Meinung der Fans ist da so eindeutig wie leider auch falsch. Hat Apple ja lange genug so eingetrichtert. Und iOS wird aufgrund des erreichten Komplexitätsniveaus jetzt auch zwangsläufig in diese Richtung gehen.
 

Verlon

Juwel aus Kirchwerder
Registriert
05.09.08
Beiträge
6.532
Na ja, fest steht, wenn es um Sicherheit geht, ist Apple nicht besser als Android,

na das ist jetzt ein wenig zu sehr simplifiziert und doch etwas komplexer, wenn man das Risiko unterschiedlicher Betriebssysteme bezüglich der Sicherheit vergleichen möchte.

Vor Zeroday-Exploits ist man prinzpiell bei keinen OS sicher. Wie mächtig diese Exploits sein können und wie lange diese unendteckt bleiben können, zeigt eben das aktuelle Beispiel. Wieso dieses Szenario allerdings OS-spezifisch sein soll, müsstest du dann doch erläutern.
 
Zuletzt bearbeitet:

saw

Königlicher Kurzstiel
Registriert
31.08.07
Beiträge
10.201
und doch etwas komplexer
Für mich als Kunde.... nö.
Entweder das System ist sicher, oder nicht.
Da iOS über 3 Jahre auf allen kompatiblen Geräten so offen wie ein Scheunentor war,
und im groben wirklich alle wichtigen Daten abgegriffen werden konnten, ohne da ich als Anwender etwas mitbekommen konnte,
noch mich davor schützen konnte, ist mir der Weg den die gehen mussten, relativ schnuppe.

Weniger unsicher wäre für mich vergleichbar mit ein wenig schwanger nur.

Das Software nicht perfekt ist, weis ich.
Das aber Fremde, ohne Umwege durch Phishing Mails etc. sondern nur durch meinen Besuch einer Webseite, die auch noch nicht mal gefakt sein muss, auf meinen Schlüsselbund zugreifen können, sorry aber das war mir nicht klar.

Das einzige was Apple User vor dem Supergau geschützt hat, war dann wohl dass die Entwickler es schafften ihren "Schlüssel" unter Verschluss zu halten und das Google es dann gefunden hatte.
Sorry aber wenn Google es finden kann, Fremde Entwickler auch, warum findet es Apple dann in 3 Jahren nicht? oO
 

Verlon

Juwel aus Kirchwerder
Registriert
05.09.08
Beiträge
6.532
Entweder das System ist sicher, oder nicht.

Kein System ist sicher. Das ist auch nicht die relevante Frage. Wichtig ist das Risiko, sprich Eintrittswahrscheinlichkeit * Schadensschwere.

Und da muss man halt doch etwas genauer hinschauen. Wenn man denn will. Klar, man kann auch sagen, pah, eh alles nicht sicher. Sind dann vielleicht auch die, die meinen, sich im Auto nicht anschnallen zu müssen, weil man auch mit Gurt umkommen kann. Oder die, die 1234 als PW nutzen.
 
Zuletzt bearbeitet:

saw

Königlicher Kurzstiel
Registriert
31.08.07
Beiträge
10.201
Kein System ist sicher. Das ist auch nicht die relevante Frage.
Für den Laien, was wohl 98% der Nutzer sein dürften.... doch.
Apple hat den Ruf, sicher zu sein.
Nicht den Ruf, etwas weniger unsicher als Android zu sein.

Wichtig ist das Risiko, sprich Eintrittswahrscheinlichkeit
Die letzten 3 Jahre wurden Tausende Nutzer und konnten alle Nutzer (ab iOS 10) ausgespäht werden.
Nur weil diesmal die Zielgruppe eine andere war, kann ich ja nicht sagen das Risiko war gegen Null.
Viel schlimmer ging wohl nicht mehr.
Bilder, Mails, Chats, Zugangsdaten, etc.
Für den Normaluser wohl der absolute GAU.
Klar, man kann auch sagen, pah, eh alles nicht sicher. Sind dann vielleicht auch die, die meinen, sich im Auto nicht anschnallen zu müssen, weil man auch mit Gurt umkommen kann. Oder die, die 1234 als PW nutzen.
Verstehe ich nicht, was das jetzt aussagen soll?
Und da muss man halt doch etwas genauer hinschauen. Wenn man denn will
Ich dachte iOS, zusammen mit 2Faktor und Face-ID und die Apple eigene Schlüsselbundverwaltung, sicherer ginge nicht mehr.
Was soll der Durchschnitts Nutzer denn noch machen?
Google fragen, wie er sich am besten mit einem Apple Gerät absichert?

Hat Apple überhaupt mal Stellung bezogen und sich geäußert?
Vor allem was mit iOS 10 und iOS 12 ist?
Oder surfen die Nutzer immer noch mit offenem Scheunentor und wissen garnicht was los ist?
 

Verlon

Juwel aus Kirchwerder
Registriert
05.09.08
Beiträge
6.532
Für den Laien, was wohl 98% der Nutzer sein dürften.... doch.
Apple hat den Ruf, sicher zu sein.
Nicht den Ruf, etwas weniger unsicher als Android zu sein.

ok, dann reden wir von unterschiedlichen Dingen. Ich meine das tatsächliche Risiko. Nicht das von Laien gefühlte Risiko aufgrund der Mär, dass Apple Systeme von nahezu 100% sicher sind.

Die letzten 3 Jahre wurden Tausende Nutzer und konnten alle Nutzer (ab iOS 10) ausgespäht werden.
Nur weil diesmal die Zielgruppe eine andere war, kann ich ja nicht sagen das Risiko war gegen Null.
Sage ich doch gar nicht, dass das Risiko null wäre. Ich sage, dass man nicht anhand eines an die Öffentlichkeit gekommen Falls eines bisher beispiellosen Exploits auf die gesamte Sicherheit eines Systems schließen kann.

Viel schlimmer ging wohl nicht mehr.
Bilder, Mails, Chats, Zugangsdaten, etc.
Für den Normaluser wohl der absolute GAU.
defnitiv! die Schadensschwere ist enorm

Verstehe ich nicht, was das jetzt aussagen soll?
Dass deine Aussage, sicher oder nicht sicher, der Rest ist wurscht, einfach nicht zielführend ist. Denn PW sind auch nicht 100% sicher, trotzdem gibt es sicherer und weniger sichere. Denn es geht um Wahrscheinlichkeit. Und deswegen ist es wohl relevant, wenn ein System etwas sicherer ist als das andere.

Ich dachte iOS, zusammen mit 2Faktor und Face-ID und die Apple eigene Schlüsselbundverwaltung, sicherer ginge nicht mehr.
Was soll der Durchschnitts Nutzer denn noch machen?
Google fragen, wie er sich am besten mit einem Apple Gerät absichert?

Was hat das eine mit dem anderen zutun? Weil man gegen Zero-Day Exploits nichts machen kann, ist es doch trotzdem wichtig, andere Eintritts-Wege zu verhindern, eben mit 2-Faktor Authentifizierung etc. pp.
Und was erwähnst du immer google. Glaubst du, dass es für Android keine Zero-Day-Exploits gibt? Das Risiko Opfer von Zero-Day-Exploits zu werden besteht doch systemübergreifend. Das einzige, was der User da machen kann, ist sein OS aktuell zu halten und die updates zu installieren. Was bei iOS halt auch recht einfach ist.
 

saw

Königlicher Kurzstiel
Registriert
31.08.07
Beiträge
10.201
Das einzige, was der User da machen kann, ist sein OS aktuell zu halten und die updates zu installieren. Was bei iOS halt auch recht einfach ist.
In dem Falle aber 3 Jahre nichts gebracht hat und eher noch eine trügerische Sicherheit vorgegaukelt hat.
Ich sage, dass man nicht anhand eines an die Öffentlichkeit gekommen Falls eines bisher beispiellosen Exploits auf die gesamte Sicherheit eines Systems schließen kann.
Und ich sage halt, einfach aufgrund der extrem langen Dauer wo dieser genutzt werden konnte und selbst dann, noch nicht vom Hersteller, sondern dritten erst bemerkt wurde, das ich persönlich sehr wohl einen Fehler im System sehe.
Wäre es kurzfristig aufgefallen und gepatcht worden, okay,
aber hätten es dritte nicht aufgedeckt vermutlich wäre es nie gepatcht worden.
 
  • Like
Reaktionen: dg2rbf

Mitglied 235800

Gast
Gib mir zehn Androids von der Straße und ich mach dir neun in zehn Minuten auf - was vor allem an dem Update-Drama bei dem Betriebssystem liegt.
Bei mir läuft gerade mal wieder ein Update für mein Pixel 3XL. So langsam nervt das dass Google so ein Drama daraus macht.
 

Verlon

Juwel aus Kirchwerder
Registriert
05.09.08
Beiträge
6.532
In dem Falle aber 3 Jahre nichts gebracht hat und eher noch eine trügerische Sicherheit vorgegaukelt hat.
in dem Fall nicht, aber in vielen anderen Fällen eben schon.

Und ich sage halt, einfach aufgrund der extrem langen Dauer wo dieser genutzt werden konnte und selbst dann, noch nicht vom Hersteller, sondern dritten erst bemerkt wurde, das ich persönlich sehr wohl einen Fehler im System sehe.
was genau meinst du? Dass bei anderen Systemen vergleichbare Exploits nicht möglich wären, weil?
 

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.879
Allein die Tatsache, dass Apple seine Betriebssysteme viel länger und intensiver wartet, macht iOS und macOS per se sicherer.

Apple hat sogar iOS 10 vor nicht ganz zwei Monaten noch einmal mit einem Update versehen. Ein Betriebssystem, das bereits seit Jahren nicht mehr aktualisiert wird, erhält ein Sicherheitsupdate.

So etwas gibt es aufgrund der Fragmentierung und der Tatsache, dass bei Android jeder Hersteller sein eigenes Süppchen kocht, faktisch nicht. Eine Chance hätte ich nur bei Googles Geräten und das wäre ja direkt der Pakt mit dem Teufel selbst.

Ich nenne an dieser Stelle einfach mal die immer wieder gern genommene Lücke „Stagefright“. Hier sind mehrere Millionen Geräte nach wie vor im Einsatz, die ungepatcht und damit offen wie ein Scheunentor sind. Auch wenn Google es natürlich korrigiert hat - für den Endanwender (der ja hier von gewissen Leuten so sehr propagiert wird) ist es blöd, weil er für sein Nicht-Google-Gerät halt keine Updates mehr bekommt. Hier will man allen Ernstes iOS mit Android auf eine Stufe stellen?

Hier wird mal wieder alles sich so hingedreht, wie man es braucht. Ein System gilt so lange als sicher, bis die Unsicherheit bewiesen ist. Nicht jeder Fehler im Code löst direkt eine Kette an Exploits aus, die das System auch angreifbar machen. Und wenn es dann so etwas doch einmal gibt, dann ist es natürlich blöd, aber so lange Apple hier reagiert, BEVOR etwas öffentlich geworden ist, ist doch alles gut.

Und bevor jetzt wieder die sich melden, die meinen „Ja, aber Apple propagiert doch seit Jahren, wie geil sicher ihr System ist“ - klar tun sie das. Sollten Sie sagen „Unser System hat hunderte Lücken, von denen wir selber nichts wissen und genau aus dieser Tatsache heraus auch nicht Millionen von Zeilen Code durchparsen können, nur um theoretisch einen Fehler zu finden“?

Ich arbeite selber in einem Softwareunternehmen. Wir machen auch Unit- und viele andere Tests, um so viel Stabilität wie möglich reinzukriegen. Und trotzdem gibt es Bugs.

Solange Apple mit dem Fixen der Bugs so schnell ist, braucht es auch keine wildfremde Zusatzsoftware, die meinen Rechner angeblich schützen soll. Vor was denn? Vor unbekannten Exploits, die keiner außer ein paar Leuten kennt?

Diejenigen merken hoffentlich selber, was sie hier für einen Quark schreiben.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: echo.park