Project Zero deckt schwere iOS Sicherheitslücke auf

[Cohni]

Genau so geht es mir auch. Es ist ein normaler Vorgang. Und sie haben zeitlich angemessen reagiert. Thats it.

Erstaunlich finde ich allerdings tatsächlich das Ausmaß bzw. die einfache Anwendung der Lücke. Erinnert ein bisschen an den Jailbreak, der damals mit dem Besuch einer Website durchzuführen war.

So ein Szenario hätte ich tatsächlich nicht mehr erwartet.

Andererseits...solange Jailbreaks möglich sind...solange braucht man sicher nicht überrascht sein, dass diese auch durchgeführt werden.

 

[Balkenende]

Der letzte Satz trifft es voll.

Wo kann ich unterschreiben?

 

[saw]

Jailbreaks möglich sind

Was ich nun wirklich nicht vergleichen kann,
die haben die Nutzer selber installiert,
die aktuelle Lücke hat über mehrere Jahre bestanden und würde immer noch bestehen, wenn Google nicht für Apple die Hausaufgaben gemacht hätte.

Na ja, fest steht, wenn es um Sicherheit geht, ist Apple nicht besser als Android,
da holen sich die Leute die Lücke selbst aufs Gerät über manipulierte apps, Bilder etc.
Hier reicht schon der Gang ins Internet mit einem iPhone 5 und der richtigen Seite um alle seine Daten preis zu geben. Scheint Apple aber weder zu stören, noch es nötig zu befinden die Nutzer zu warnen.


Das Software nie perfekt sein kann, mag ja sein,
aber das eine solche Lücke möglich war, zeigt das iOS wohl doch brocken bei Design zu sein scheint,
sonnst dürfte es nicht so einfach gewesen sein.

Wer will wissen, ob es nicht noch viel mehr solcher Lücken gibt die schon ausgenutzt werden?
Ich mein, 3 Jahre hat Apple von dieser auch nichts mit bekommen.... angeblich....

 

[echo.park]

Ob diese Lücken nun „einfach“ oder „schwer“ auszunutzen sind, kann hier wohl keiner von uns beurteilen.

Der User muss nur eine Webseite öffnen. Das zeigt aber nicht wie viel Aufwand und Gehirnschmalz in den Code geflossen ist.

 

[Jan Gruber]

sonnst dürfte es nicht so einfach gewesen sein.

Lies dir mal den verlinkten Blogpost durch. Da war nichts "so einfach".

Zum Rest: Finde den Vergleich mit Jailbreak und der Lücke nicht soooo falsch. Jailbreak _nützt_ ne schwere Sicherheitslücke. Da installiert der Nutzer aktiv etwas (was er will), die Lücke kann aber auch für andere Dinge genutzt werden. Das war immer ein Problem mit nem Jailbreak. Man hat ein offenes Scheunentor, schreit laut "Hier rein" und alle wissen, dass sie offen ist - und man will sie nicht zu machen

Allein an dem Beispiel wird mir auch eines klar: Offenbar ist es besser geworden. Die Jailbreaks nahmen ja deeeeeeutlich ab. Oder es interessiert einfach keinen mehr ;p

 

[Marcel Bresink]

Was ich nun wirklich nicht vergleichen kann,
die haben die Nutzer selber installiert,

Das geht jetzt etwas durcheinander.

Wenn es eine Lücke im System gibt, so dass das Aufrufen einer Webseite genügt, um sowohl die Sandbox als auch die Nutzerprivilegien außer Kraft zu setzen, dann ist es nur eine Frage der Anwendung, ob man die Lücke benutzt, um Daten des Benutzers abzugreifen oder um die Sperre aus iOS zu entfernen, die das Ausführen fremder Software verhindert. Das ist nicht nur vergleichbar, die Lücke kann sogar identisch sein.

Der Jailbreak an sich ist keine Lücke. Aber er entfernt einen Sicherheitsmechanismus, der das Ausführen von mehr Software und damit auch bösartiger Software möglich macht. Von daher ist nach dem Jailbreak der Betrieb des Gesamtsystems unsicherer als vorher.

 

[MichaNbg]

Die Diskussion um jailbreaks hijacked das Thema aber schon wieder. Und das ist eigentlich, dass iOS (und macOS) nicht annähernd so sicher ist, wie Apple gerne verkauft oder Fans meinen.

dazu auch passend diese Meldung:
https://m.spiegel.de/netzwelt/gadge...e-ein-mac-ist-leicht-zu-hacken-a-1281361.html

Auf der Defcon in Las Vegas demonstriert ein ehemaliger NSA-Hacker, wie sich Apples Schutz vor Schadsoftware ganz einfach aushebeln lässt. Die verbreitete Annahme, macOS sei sicherer als Windows, hält er für Unsinn.

[...]

"Traditionell war Windows leichter zu hacken", sagt er. "Aber heute ist Windows viel sicherer als macOS - auch wenn sich das Sicherheitsniveau in den vergangenen Jahren insgesamt deutlich erhöht hat. Ein Windows-10-Gerät mit Defender ist eine wirklich harte Nuss für Hacker. Im Vergleich dazu ist macOS ein ziemlich leichtes Ziel."

[...]

 

[Jan Gruber]

Naja gut, macOS hat sich ja vor allem letztes Jahr einige wirklich heftige Patzer geleistet. Da hab ich ja auch mehrmals hart im Podcast dagegen geschossen - und wurde sehr schwer dafür kritisiert. Bei mobilen Betriebssystemen lass ich das aber tatsächlich (noch) nicht gelten. Gib mir zehn Androids von der Straße und ich mach dir neun in zehn Minuten auf - was vor allem an dem Update-Drama bei dem Betriebssystem liegt. Bei iPhones sind wir da noch seeeeehr weit weg. Der Hack jetzt ist eben auch alles andere als "einfach". Das ist wieder ne Überdramatisierung der Presse

 

[MichaNbg]

Vor den Menschen auf der Straße die das Ding in die Hand nehmen (müssen) musst du auch keine Angst haben. Aber vor Gruppen mit den Ressourcen solche zwar schwer auszunutzenden dafür aber auch sehr schwerwiegenden Lücken auszunutzen

Das Problem liegt ja vor allem darin, dass die Lücke über eine lange Zeit und etliche Generationen des OS bestand und ein simples ansurfen einer Webseite gereicht haben soll. Das kannst du dann vermutlich über ansonsten harmlose Apps, ausgebrachte Werbung, Social Media usw relativ leicht bewerkstelligen.

geht ja nur um den Nimbus, Apple Betriebssysteme wären soooo sicher. Nein, sind sie genau so wenig. Muss man als Nutzer halt wissen, verinnerlichen und realisieren, dass man auch als Apple Bessermensch nicht unverwundbar ist.


Kennst doch die ewige Diskussion, ob Sicherheitssoftware auf macOS notwendig ist oder das OS an sich sicher genug ... die Meinung der Fans ist da so eindeutig wie leider auch falsch. Hat Apple ja lange genug so eingetrichtert. Und iOS wird aufgrund des erreichten Komplexitätsniveaus jetzt auch zwangsläufig in diese Richtung gehen.

 

[Verlon]

Na ja, fest steht, wenn es um Sicherheit geht, ist Apple nicht besser als Android,

na das ist jetzt ein wenig zu sehr simplifiziert und doch etwas komplexer, wenn man das Risiko unterschiedlicher Betriebssysteme bezüglich der Sicherheit vergleichen möchte.

Vor Zeroday-Exploits ist man prinzpiell bei keinen OS sicher. Wie mächtig diese Exploits sein können und wie lange diese unendteckt bleiben können, zeigt eben das aktuelle Beispiel. Wieso dieses Szenario allerdings OS-spezifisch sein soll, müsstest du dann doch erläutern.

 

[saw]

und doch etwas komplexer

Für mich als Kunde.... nö.
Entweder das System ist sicher, oder nicht.
Da iOS über 3 Jahre auf allen kompatiblen Geräten so offen wie ein Scheunentor war,
und im groben wirklich alle wichtigen Daten abgegriffen werden konnten, ohne da ich als Anwender etwas mitbekommen konnte,
noch mich davor schützen konnte, ist mir der Weg den die gehen mussten, relativ schnuppe.

Weniger unsicher wäre für mich vergleichbar mit ein wenig schwanger nur.

Das Software nicht perfekt ist, weis ich.
Das aber Fremde, ohne Umwege durch Phishing Mails etc. sondern nur durch meinen Besuch einer Webseite, die auch noch nicht mal gefakt sein muss, auf meinen Schlüsselbund zugreifen können, sorry aber das war mir nicht klar.

Das einzige was Apple User vor dem Supergau geschützt hat, war dann wohl dass die Entwickler es schafften ihren "Schlüssel" unter Verschluss zu halten und das Google es dann gefunden hatte.
Sorry aber wenn Google es finden kann, Fremde Entwickler auch, warum findet es Apple dann in 3 Jahren nicht? oO

 

[Verlon]

Entweder das System ist sicher, oder nicht.

Kein System ist sicher. Das ist auch nicht die relevante Frage. Wichtig ist das Risiko, sprich Eintrittswahrscheinlichkeit * Schadensschwere.

Und da muss man halt doch etwas genauer hinschauen. Wenn man denn will. Klar, man kann auch sagen, pah, eh alles nicht sicher. Sind dann vielleicht auch die, die meinen, sich im Auto nicht anschnallen zu müssen, weil man auch mit Gurt umkommen kann. Oder die, die 1234 als PW nutzen.

 

[Mokotschombo]

dazu auch passend diese Meldung:
https://m.spiegel.de/netzwelt/gadge...e-ein-mac-ist-leicht-zu-hacken-a-1281361.html

fand ich spannend, dass dieser Beitrag in diesem Forum gar kein Thema war(oder ich habs verpasst).

Ähnlich ist es gegen den Internet Explorer zu schießen, obwohl Safari seit Jahren auch einer geworden ist

 

[saw]

Kein System ist sicher. Das ist auch nicht die relevante Frage.

Für den Laien, was wohl 98% der Nutzer sein dürften.... doch.
Apple hat den Ruf, sicher zu sein.
Nicht den Ruf, etwas weniger unsicher als Android zu sein.

Wichtig ist das Risiko, sprich Eintrittswahrscheinlichkeit

Die letzten 3 Jahre wurden Tausende Nutzer und konnten alle Nutzer (ab iOS 10) ausgespäht werden.
Nur weil diesmal die Zielgruppe eine andere war, kann ich ja nicht sagen das Risiko war gegen Null.

Schadensschwere.

Viel schlimmer ging wohl nicht mehr.
Bilder, Mails, Chats, Zugangsdaten, etc.
Für den Normaluser wohl der absolute GAU.

Klar, man kann auch sagen, pah, eh alles nicht sicher. Sind dann vielleicht auch die, die meinen, sich im Auto nicht anschnallen zu müssen, weil man auch mit Gurt umkommen kann. Oder die, die 1234 als PW nutzen.

Verstehe ich nicht, was das jetzt aussagen soll?

Und da muss man halt doch etwas genauer hinschauen. Wenn man denn will

Ich dachte iOS, zusammen mit 2Faktor und Face-ID und die Apple eigene Schlüsselbundverwaltung, sicherer ginge nicht mehr.
Was soll der Durchschnitts Nutzer denn noch machen?
Google fragen, wie er sich am besten mit einem Apple Gerät absichert?

Hat Apple überhaupt mal Stellung bezogen und sich geäußert?
Vor allem was mit iOS 10 und iOS 12 ist?
Oder surfen die Nutzer immer noch mit offenem Scheunentor und wissen garnicht was los ist?

 

[Verlon]

Für den Laien, was wohl 98% der Nutzer sein dürften.... doch.
Apple hat den Ruf, sicher zu sein.
Nicht den Ruf, etwas weniger unsicher als Android zu sein.

ok, dann reden wir von unterschiedlichen Dingen. Ich meine das tatsächliche Risiko. Nicht das von Laien gefühlte Risiko aufgrund der Mär, dass Apple Systeme von nahezu 100% sicher sind.

Die letzten 3 Jahre wurden Tausende Nutzer und konnten alle Nutzer (ab iOS 10) ausgespäht werden.
Nur weil diesmal die Zielgruppe eine andere war, kann ich ja nicht sagen das Risiko war gegen Null.

Sage ich doch gar nicht, dass das Risiko null wäre. Ich sage, dass man nicht anhand eines an die Öffentlichkeit gekommen Falls eines bisher beispiellosen Exploits auf die gesamte Sicherheit eines Systems schließen kann.

Viel schlimmer ging wohl nicht mehr.
Bilder, Mails, Chats, Zugangsdaten, etc.
Für den Normaluser wohl der absolute GAU.

defnitiv! die Schadensschwere ist enorm

Verstehe ich nicht, was das jetzt aussagen soll?

Dass deine Aussage, sicher oder nicht sicher, der Rest ist wurscht, einfach nicht zielführend ist. Denn PW sind auch nicht 100% sicher, trotzdem gibt es sicherer und weniger sichere. Denn es geht um Wahrscheinlichkeit. Und deswegen ist es wohl relevant, wenn ein System etwas sicherer ist als das andere.

Ich dachte iOS, zusammen mit 2Faktor und Face-ID und die Apple eigene Schlüsselbundverwaltung, sicherer ginge nicht mehr.
Was soll der Durchschnitts Nutzer denn noch machen?
Google fragen, wie er sich am besten mit einem Apple Gerät absichert?

Was hat das eine mit dem anderen zutun? Weil man gegen Zero-Day Exploits nichts machen kann, ist es doch trotzdem wichtig, andere Eintritts-Wege zu verhindern, eben mit 2-Faktor Authentifizierung etc. pp.
Und was erwähnst du immer google. Glaubst du, dass es für Android keine Zero-Day-Exploits gibt? Das Risiko Opfer von Zero-Day-Exploits zu werden besteht doch systemübergreifend. Das einzige, was der User da machen kann, ist sein OS aktuell zu halten und die updates zu installieren. Was bei iOS halt auch recht einfach ist.

 

[saw]

Das einzige, was der User da machen kann, ist sein OS aktuell zu halten und die updates zu installieren. Was bei iOS halt auch recht einfach ist.

In dem Falle aber 3 Jahre nichts gebracht hat und eher noch eine trügerische Sicherheit vorgegaukelt hat.

Ich sage, dass man nicht anhand eines an die Öffentlichkeit gekommen Falls eines bisher beispiellosen Exploits auf die gesamte Sicherheit eines Systems schließen kann.

Und ich sage halt, einfach aufgrund der extrem langen Dauer wo dieser genutzt werden konnte und selbst dann, noch nicht vom Hersteller, sondern dritten erst bemerkt wurde, das ich persönlich sehr wohl einen Fehler im System sehe.
Wäre es kurzfristig aufgefallen und gepatcht worden, okay,
aber hätten es dritte nicht aufgedeckt vermutlich wäre es nie gepatcht worden.

 

[Mitglied 235800]

Gib mir zehn Androids von der Straße und ich mach dir neun in zehn Minuten auf - was vor allem an dem Update-Drama bei dem Betriebssystem liegt.

Bei mir läuft gerade mal wieder ein Update für mein Pixel 3XL. So langsam nervt das dass Google so ein Drama daraus macht.

 

[Verlon]

In dem Falle aber 3 Jahre nichts gebracht hat und eher noch eine trügerische Sicherheit vorgegaukelt hat.

in dem Fall nicht, aber in vielen anderen Fällen eben schon.

Und ich sage halt, einfach aufgrund der extrem langen Dauer wo dieser genutzt werden konnte und selbst dann, noch nicht vom Hersteller, sondern dritten erst bemerkt wurde, das ich persönlich sehr wohl einen Fehler im System sehe.

was genau meinst du? Dass bei anderen Systemen vergleichbare Exploits nicht möglich wären, weil?

 

[saw]

was genau meinst du? Dass bei anderen Systemen vergleichbare Exploits nicht möglich wären, weil?

Wo habe ich auch nur im Ansatz, so etwas geschrieben?

 

[rootie]

Allein die Tatsache, dass Apple seine Betriebssysteme viel länger und intensiver wartet, macht iOS und macOS per se sicherer.

Apple hat sogar iOS 10 vor nicht ganz zwei Monaten noch einmal mit einem Update versehen. Ein Betriebssystem, das bereits seit Jahren nicht mehr aktualisiert wird, erhält ein Sicherheitsupdate.

So etwas gibt es aufgrund der Fragmentierung und der Tatsache, dass bei Android jeder Hersteller sein eigenes Süppchen kocht, faktisch nicht. Eine Chance hätte ich nur bei Googles Geräten und das wäre ja direkt der Pakt mit dem Teufel selbst.

Ich nenne an dieser Stelle einfach mal die immer wieder gern genommene Lücke „Stagefright“. Hier sind mehrere Millionen Geräte nach wie vor im Einsatz, die ungepatcht und damit offen wie ein Scheunentor sind. Auch wenn Google es natürlich korrigiert hat - für den Endanwender (der ja hier von gewissen Leuten so sehr propagiert wird) ist es blöd, weil er für sein Nicht-Google-Gerät halt keine Updates mehr bekommt. Hier will man allen Ernstes iOS mit Android auf eine Stufe stellen?

Hier wird mal wieder alles sich so hingedreht, wie man es braucht. Ein System gilt so lange als sicher, bis die Unsicherheit bewiesen ist. Nicht jeder Fehler im Code löst direkt eine Kette an Exploits aus, die das System auch angreifbar machen. Und wenn es dann so etwas doch einmal gibt, dann ist es natürlich blöd, aber so lange Apple hier reagiert, BEVOR etwas öffentlich geworden ist, ist doch alles gut.

Und bevor jetzt wieder die sich melden, die meinen „Ja, aber Apple propagiert doch seit Jahren, wie geil sicher ihr System ist“ - klar tun sie das. Sollten Sie sagen „Unser System hat hunderte Lücken, von denen wir selber nichts wissen und genau aus dieser Tatsache heraus auch nicht Millionen von Zeilen Code durchparsen können, nur um theoretisch einen Fehler zu finden“?

Ich arbeite selber in einem Softwareunternehmen. Wir machen auch Unit- und viele andere Tests, um so viel Stabilität wie möglich reinzukriegen. Und trotzdem gibt es Bugs.

Solange Apple mit dem Fixen der Bugs so schnell ist, braucht es auch keine wildfremde Zusatzsoftware, die meinen Rechner angeblich schützen soll. Vor was denn? Vor unbekannten Exploits, die keiner außer ein paar Leuten kennt?

Diejenigen merken hoffentlich selber, was sie hier für einen Quark schreiben.