• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Es regnet, ist neblig und kalt, alle sind krank und der Chef wird zunehmend cholerisch. Das Thema des Monats ist also folgerichtig --> Das Grau(en)
    Wir sind gespannt, war Euch dazu einfällt! Zum Wettbewerb --> Klick
  • Auch in diesem Jahr möchten wir auf unserer Webseite mit einem passenden Banner etwas weihnachtliche Stimmung verbreiten. Jeder Apfeltalker kann, darf und sollte uns einen Banner-Entwurf zusenden, wie und wo das geht, könnt Ihr hier nachlesen --> Klick

Project Zero deckt schwere iOS Sicherheitslücke auf

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
t3n Magazin: Exploit-Händler: „iOS-Sicherheit ist vollkommen zerstört“.
https://t3n.de/news/exploit-haendler-ios-sicherheit-1195167/

Da hat die Android Fragmentierung scheinbar doch ein Vorteil.
„Derzeit würden ausnutzbare Lücken für iOS den Markt geradezu fluten. [...] Der Exploit-Broker müsse sogar schon iOS-Lücken ablehnen, weil es so viele von ihnen auf dem Markt gebe.“

Was ein Bullsh*t. Selten so ein dämliches Geschwafel gelesen. Woher sollen diese Massen an Lücken auf einmal herkommen? Was hat das mit der bekannt gewordenen Lücke zu tun, die bereits im Februar geschlossen wurde? Und wie kann eine „geschlossene“ Lücke die Sicherheit „zerstören“?!

Beim Lesen des Artikels konnte ich spüren, wie meine Gehirnzellen abgestorben sind, eine nach der anderen. Mit jedem Wort.
 

Mokotschombo

Leipziger Reinette
Registriert
05.03.15
Beiträge
1.782
Du glaubst jetzt doch diesen Bullshit, der da steht jetzt nicht ernsthaft, oder? Bitte sag „nein“ [emoji15]
Genauso wie die meisten den Apple Bullshit hier sofort glauben.

Aber die Fragmentierung außen vor gelassen, solche Artikel über Apples Sicherheit häufen sich.
 

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.879
Hast Du irgendwelche Beweise oder Beispiele für Sicherheitslücken, die bei iOS aktiv ausgenutzt werden? Aktuellste patchbare Version natürlich.

Ich kann Dir auf Anhieb 2 bei Android nennen, die seit Jahren auf Hunderten Millionen Androids ungepatcht sind und ausgenutzt werden können.

Ich bin gespannt.
 

Mokotschombo

Leipziger Reinette
Registriert
05.03.15
Beiträge
1.782

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
@rootie

Lass es gut sein, auf solch einen Artikel reagiert man am besten gar nicht erst. Das ist für die Füße. ;)
 
  • Like
Reaktionen: rootie

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Ja aber warum? Weil es in das Apple Weltbild nicht passt? Warum sollte man sich damit denn nicht befassen.
Nein, mit dem Weltbild hat das nichts zu tun.

Es ist schlicht und ergreifend hirnloses Geschwafel, ohne Hand und Fuß. Das erkennt man doch, allein schon von der Logik her. Da will sich jemand wichtig machen, mit irgendwelchem Unsinn ohne Fundament. Und dieses merkwürdige Magazin greift das auf, weil es Klicks generiert.
 
  • Like
Reaktionen: rootie

Mokotschombo

Leipziger Reinette
Registriert
05.03.15
Beiträge
1.782
Nein, mit dem Weltbild hat das nichts zu tun.

Es ist schlicht und ergreifend hirnloses Geschwafel, ohne Hand und Fuß. Das erkennt man doch, allein schon von der Logik her. Da will sich jemand wichtig machen, mit irgendwelchem Unsinn ohne Fundament. Und dieses merkwürdige Magazin greift das auf, weil es Klicks generiert.
Ich hätte auch andere Magazine posten können, oder Apple Seiten, findet man überall.

Muss ich wohl auf nen Apple Pressetext warten um beruhigt zu werden :)
 

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.879
this, werden und werden können.

plus ist bei dem einen nur die aktuelle Version, bei dem anderen egal :)

Na mal langsam! Mit „aktuelle Version“ meine ich die letzte mögliche Version, die für die Geräte jeweils möglich war. Da schaut es bei den Android-Lücken GANZ dunkel aus, weil eben die Hersteller NICHT für all ihre Geräte die gefixte Android-Version rausgebracht haben. Und ich akzeptiere kein Cyanogen oder sowas - das ist Frickelei und vor allem nix für den 08/15 - Endanwender!

Und jetzt nennst mir doch einfach eine einzige - nur eine - Sicherheitslücke, die bei maximal möglich gepatchten Apple-Geräten aktiv ausgenutzt werden kann. Dankeschön!

Es behauptet übrigens auch keiner, dass „sicher“ 100% perfekten Code bedeutet. Für mich ist „sicher“ gleichbedeutend mit: Es wird keine Sicherheitslücke aktiv ausgenutzt.

Wenn ich allein schon lese „iOS-Sicherheit ist vollständig zerstört“, ist alles klar [emoji23]
 
  • Like
Reaktionen: echo.park

Mokotschombo

Leipziger Reinette
Registriert
05.03.15
Beiträge
1.782
Na mal langsam! Mit „aktuelle Version“ meine ich die letzte mögliche Version, die für die Geräte jeweils möglich war. Da schaut es bei den Android-Lücken GANZ dunkel aus, weil eben die Hersteller NICHT für all ihre Geräte die gefixte Android-Version rausgebracht haben. Und ich akzeptiere kein Cyanogen oder sowas - das ist Frickelei und vor allem nix für den 08/15 - Endanwender!

Und jetzt nennst mir doch einfach eine einzige - nur eine - Sicherheitslücke, die bei maximal möglich gepatchten Apple-Geräten aktiv ausgenutzt werden kann. Dankeschön!

Ganz entspannt!

Ich kenn keine Lücke, die, die es brauchen, scheinbar schon. Bin auch kein Hacker, Experte oder sonstwas, aber ich sehe eine Entwicklung...
 

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.879
Du siehst eine Entwicklung, weil irgendwelche Leute, die Du nicht kennst und deren fachlichen Fähigkeiten Du nicht einschätzen kannst, behaupten, dass iOS vollkommen unsicher sei? Interessant, wie einfach Du Dich beeinflussen lässt.

Ich hingegen halte mich an harte Fakten - es gibt keine offizielle Lücke, die aktiv ausgenutzt werden kann. Deswegen glaube ich Apple und nicht irgendwelchen Internet-Magazinen oder Exploit-Verkäufern. Lücken, die von der NSA ausgenutzt werden (sofern es sie gibt), zählen auch nicht zu „unsicher“ in diesem Kontext hier. Die gibt es bei Android und Windows auch zu Genüge.

Ich habe einfach nur das Gefühl, Ihr wisst genau, was @echo.park und ich sagen wollen [emoji57]

Und bevor hier wieder alles eskaliert geh ich mal saunieren. Bis denne [emoji4]
 

Balkenende

Virginischer Rosenapfel
Registriert
12.06.09
Beiträge
11.444
@rootie und @echo.park

Eure Schönrednerei negiert die Fakten.

Die Lücke war nicht nur groß, sie war ein echtes Risiko.

Verkürzt gesagt ist das Ganze nur in einem kleineren Kreis geblieben, weil die chinesische Regierung nach der Faktenlage erstens sich genau auf eine bestimmte Gruppe fixierte und mit dieser Fixierung auf diese Gruppe und die Manipulation über bestimmte Webseiten einigermaßen verborgen Belieben könnte, was sie bei dem Scheunentor eigentlich nicht hätten bleiben können.

Hätte die chinesische Regierung das ausgeweitet, was sie leicht und jederzeit hätte tun können, wäre das ein Desaster gewesen.

Und die Art der Angreifbarkeit (nicht der konkrete Angriff) war nichts, was erstens Apple hätte verborgen bleiben können, zweitens steckt da ein systematisches Problem dahinter.

Noch schlimmer drittens ist deren Stellungnahme als manipulativ zu bezeichnen, weil sie in wesentlichen Teilen Google etwas vorwerfen - das Google gar nicht sagte.

Bis dahin kann man es natürlich genau wie Ihr zwei machen und sich mit spöttischer Überheblichkeit über andere zerreden, statt selbst die leicht auffindbaren Nachweisen mal rauszusuchen.

Beispielsweise denen von früheren Mitarbeitern, die Apple seit Jahren auf die Nase binden, öffentlichkeitswirksames Geschreibsel zu verbreiten, statt bekannten grundsätzlichen Problemen beim hauseigenem Browser nachzugehen.

The Verge und andere Fachleute gehen auch sehr dezidiert den schöngefärbten Repliken Apples nach und heben hervor, das es eben nicht eine Lücke ist, sondern alle die schräge Anzahl von 14 Zero-Day Exploits ein grundsätzliches Problem offenbaren.

Wem das nicht reicht, verschließt die Augen vor der Realität, und zwar in - gestattet mir - überheblichen Tonfall, der für sich, aber erst recht bei der Thematik unangemessen ist.

https://www.vice.com/en_us/article/qvgv4p/apple-disputes-googles-claims-of-a-devastating-iphone-hack

https://www.theverge.com/2019/9/6/2...s-statement-security-google-false-impressions

https://www.schneier.com/blog/archives/2019/09/massive_iphone_.html
 
Zuletzt bearbeitet:

saw

Königlicher Kurzstiel
Registriert
31.08.07
Beiträge
10.198
Das trifft es wirklich gut.

Es ist ja verständlich, das Apple wie jede Firma in der Situation, versucht das ganze zu verharmlosen,
Aber die Mitteilung, nach einer Woche, sorry aber lächerlich.
Da greift man lieber Google an, redet das ganze klein, nur weil der Angreifer sich ja nur eine kleine Gruppe ausgesucht hat und sonnst kommt nichts?
Keinerlei Hilfe für Nutzer von iOS 10 und 11, keine Aussage, zur chinesischen Regierung und ihrem Vorgehen gegen Minderheiten?
 

Mokotschombo

Leipziger Reinette
Registriert
05.03.15
Beiträge
1.782
Du siehst eine Entwicklung, weil irgendwelche Leute, die Du nicht kennst und deren fachlichen Fähigkeiten Du nicht einschätzen kannst, behaupten, dass iOS vollkommen unsicher sei? Interessant, wie einfach Du Dich beeinflussen lässt.

Ja genauso wie du, nur dass du Apple über alles vertraust.

Aber viel Spaß beim Saunieren und lesen der Artikel die eben gepostet wurden.
 

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.879
Ja genauso wie du, nur dass du Apple über alles vertraust.

Aber viel Spaß beim Saunieren und lesen der Artikel die eben gepostet wurden.

Danke, den Spaß hatte ich. Saunieren gibt mir die Kraft, mich durch diesen Thread zu quälen...


@rootie und @echo.park

Eure Schönrednerei negiert die Fakten.

Die Lücke war nicht nur groß, sie war ein echtes Risiko.

...

Bis dahin kann man es natürlich genau wie Ihr zwei machen und sich mit spöttischer Überheblichkeit über andere zerreden, statt selbst die leicht auffindbaren Nachweisen mal rauszusuchen.


Mein lieber @Balkenende - ich will mich nur auf die obigen Teilzitate beziehen. Der Grund hierfür ist, dass Du bei der Beschreibung der Faktenlage durchaus Recht hast. Es ist nur traurig, hier immer wieder mit ansehen zu müssen, wie einem das Wort im Munde verdreht wird. Das finde ich überaus schade - noch viel mehr, wenn es von einem "Mann der Fakten" kommt, der Du als Rechtsanwalt ja allein schon aus beruflichen Gründen sein musst.

Schade, dass gerade Du mit so einer Wortwahl ("spöttlicher Überheblichkeit") hier auftrittst - da bin ich doch ganz anderes gewohnt von Dir. Solche Worte können mich inzwischen auch nicht mehr aus der Reserve locken. Ich bleibe ruhig und gelassen. Das mag den einen oder anderen evtl. verärgern, weil nicht mehr so oft auf "Melden" geklickt werden kann, aber da stehe ich nun wirklich drüber :)


Ich führe das Ganze stichpunktmäßig auf, um es kurz zu halten.

- Ich habe hier nie (!) behauptet, dass die ausgenutzten Exploit-Ketten kein Risiko waren. Im Gegenteil: Zu Zeiten, wo sie ausgenutzt wurden, waren sie in der Tat äußerst gefährlich - aber halt der Masse UNBEKANNT

- Ich vertraue Apple nicht "über alles"! Ich vertraue Apple in einem Maße, in denen ich ihnen vertrauen MUSS, weil ich sonst kein Smartphone von ihnen nutzen könnte/dürfte

- Auch im Gesetz gibt es Dutzende (Hunderte?) Lücken, die vom Gesetzgeber - und der hat als Staat halt mal "unendlich" Geld - nicht erkannt wurden und erst geändert werden können, wenn sie ausgenutzt wurden

- Ich schätze an Apple, dass sie erst einmal erkannte gravierende Sicherheitslücken sehr schnell und nachhaltig schließen. Für iOS 10 kam im Juli 2019 noch ein Update raus, das offiziell nur ein paar Probleme mit GPS behob - ich trau mich zu wetten, dass genau da auch die Lücken von Februar 2019 geschlossen wurden - es wurde nur nicht ins Changelog geschrieben, weil es halt noch nicht von Google veröffentlicht wurde. Wenn dem nicht so wäre, hätten es die ganzen News-Seiten längst aufgegriffen, dass das iPhone 5 und iPhone 5c immer noch betroffen wären

- iOS 11 ist zwar theroetisch betroffen gewesen, hier brauchte es aber keinen Fix, da alle iOS 11 - Geräte auch iOS 12 erhielten. Wer sich hier weiter bockig verhält und - aus welchen Gründen auch immer - auf iOS 11 bleiben will, der hat halt einfach mal Pech gehabt!


Ich stelle also fest: Apple hat - nachdem man ihnen die Fehler aufgedeckt hat - sehr schnell gehandelt. Und diesen Fakt definiere ich für mich (!!!) als "sicher". Das habt Ihr alle in meinen vorherigen Posts geflissentlich überlesen (wollen), dass es keine 100%-Sicherheit gibt, sondern man immer nur darauf hinarbeiten kann. Ich wiederhole mich nochmal: Es gibt Stand heute keinen bekannten (!) Exploit, der aktiv ausgenutzt werden kann - auch diese (positive) Tatsache bleibt bei Euren Argumentation stets unerwähnt.


Die Beantwortung der folgenden Frage ist mir jedoch sehr wichtig:

Was ist denn Eure Erwartungshaltung an Apple? Jeden Tag Millionen von Codezeilen zu auditen, um sowas rauszufinden? Ich kann Euch aus Erfahrung sagen - es klappt nicht! Man sieht als Auditer irgendwann den Wald vor lauter Bäumen nicht mehr, wohingegen Hacker zielgerichtet sich auf gewisse Dinge stürzen und 90% des anderen Codes einfach mal ausblenden. Wenn das alles so einfach wäre, wie Ihr Euch das vorstellt, dann gäbe es das perfekte System schon längst!


Ich kritisiere auch nicht Android per se - Google hatte ja diese riesigen Sicherheitslücken wie Stagefright damals gefixt. Und die Lücke war so groß, dass sogar die Telekom den Versand von MMS eingestellt hatte. Ich kritisiere die ganzen Handyhersteller, die ihre Geräte halt eben nach Bekanntwerden der Lücke NICHT aktualisiert haben. Was außer finanzielle Beweggründe (ein Patch kostet halt mal nur was und bringt nix ein!) könnte sie dazu bewogen haben, das zu tun?

Hier übrigens dann auch entsprechend lesenswert: https://thenextweb.com/security/201...mpaign-affected-not-just-ios-but-android-too/

Es wird NIE das perfekte System geben und NATÜRLICH werden immer alle Hersteller sagen, dass ihre Systeme sicher sind. Alles andere wäre geschäftsschädigend. Wer partout vermeiden will, dass irgendwelche Untergruppen, Regierungen oder Geheimdienste an Eure Infos kommen, der möge doch bitte den Stecker ziehen. Das will ja auch wieder keiner von Euch, oder? Das wäre doch einmal gelebte Konsequenz!


Jetzt ist das hier leider schon wieder viel länger geworden, als ich wollte. Sorry :(
 
  • Like
Reaktionen: MMV

MMV

Braeburn
Registriert
09.08.19
Beiträge
47
"Es gibt Stand heute keinen bekannten (!) Exploit, der aktiv ausgenutzt werden kann - auch diese (positive) Tatsache bleibt bei Euren Argumentation stets unerwähnt."

Zumindest wissen wir von keinem, das ist eben auch Teil der Wahrheit, auch wenn ich dein Posting ansonsten unterschreiben würde. Das latente Unsicherheitsgefühl schwingt immer mit und wenn man sich dessen bewusst bleibt, klickt man nicht alles an und surft keine Seiten an, bei denen man schon ahnen könnte, dass das nicht ohne ist. Warez, etc.

Alle Lücken, die in den letzten Jahren Plattform-übergreifend bekannt wurden, lagen nicht zwingend im Rahmen der Spekulationen. Was technisch möglich ist, ahnt man, aber was davon tatsächlich ausgenutzt wird, erfährt man erst im Nachhinein. Ob ich mein Verhalten geändert habe? Nein. Nicht zwingend. Ich fahre Auto wie Opa mit Hut, genauso bewege ich mich im Netz. ;)
 
  • Like
Reaktionen: rootie

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.879
Ja klar ist es Teil der Wahrheit, dass wir es nicht wissen, ob gerade jetzt ein Exploit unsere Handys überwacht. Aber wussten wir das früher bei den Telefonen? Beim Internetverkehr generell? Wer sagt, dass im IPV4-Protokoll nicht eine Hintertür drin ist? Oder im SSL-Standard?

Richtig: Es gibt keine absolute Sicherheit, solange die Chain-Of-Trust nicht zu 100% eingehalten wird. Und an diese 100% kann man sich - wenn überhaupt - nur asymptotisch annähern. Und selbst dann ist es nicht auf Dauer gewährleistet, weil Verschlüsselungen immer auf einer mathematischen Eigenheit basieren (Primfaktorzerlegung), die aktuell nur deswegen noch sicher sind, weil die Rechner (noch) nicht schnell genug sind. Das wird sich aber mit Quantenrechnern evtl. auch ändern. Dann braucht es gar keinen Exploit mehr. Es wird einfach nur noch mitgehört und entschlüsselt [emoji4]

Es wurde ja auch alles bereits mehrfach erwähnt hier. Nur wird man leider regelmäßig darauf dezimiert, auf was andere denken, was man gedacht hat. Somit verliert sich die eigentliche Diskussion auf letztendlich die beiden verfeindeten Lager Android - iOS bzw. Google - Apple. Und das ist schade.
 
  • Like
Reaktionen: MMV