Sicherheitsmaßnahmen

Inhaltsverzeichnis dieser Seite über Security und Schutz der Privatsphäre

Apple stopft schweres SSL-Sicherheitsleck

Siehe das separate Rossau-Blogposting vom 22. Februar 2014:

Wichtiges Security-Update! Apple veröffentlicht iOS 7.0.6 und iOS 6.1.6 mit Problembehebung bei SSL-Verbindungen

Heise: „Sicherer Instant-Messenger Threema“

Siehe das entsprechende Rossau-Blogposting vom 5. November 2013. Plus Apples Offenlegung zu internationalen behördlichen Anfragen (Herausgabe von User-Daten) „Government Information Requests“ im ersten Halbjahr 2013.

BSI: „Überblickspapier Apple iOS“

Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat am 24. 7. 2013 das Überblickspapier Apple iOS herausgegeben. Ein zwölfseitiges PDF-Dokument. Pressemitteilung. iOS 7 wird allerdings noch nicht abgedeckt. Daraus das Fazit:

Apple hat vor einigen Jahren mit dem iPhone und dem iPad den Grundstein für den heutigen Boom bei Tablets und Smartphones gelegt. Die Geräte des Konzerns aus Cupertino gelten als Designobjekte und haben im Markt eine hohe Begehrlichkeit. Weil die iDevices im privaten Umfeld so beliebt sind, war abzusehen, dass sie auch in Unternehmen und Behörden Einzug halten werden. Heute nutzen zahlreiche Institutionen neben anderen Smartphones und Tablets zahlreiche iDevices.

Es ist legitim, das Mitarbeiter die Vorteile wie einfache Benutzbarkeit und hohe Funktionalität im beruflichen Umfeld nutzen wollen. Doch hier müssen andere Sicherheitsmaßstäbe gelten, als im Privatbereich. Wenn beruflich verwendete Daten missbraucht werden oder verloren gehen, können hohe Schäden entstehen. Die Empfehlungen in diesem Überblickspapier sollen den Blick für potenzielle Gefahrenpunkte schärfen und helfen, diese Gefahren einzudämmen.

Heise/Security: „WhatsApp, Whistle: unsichere Instant-Messenger“

Zitat aus dem Artikel des deutschen Computer-Fachverlags vom 19. August 2013:

Keine Empfehlung: WhatsApp Messenger; Bildquelle: iOS App Store

Keine Empfehlung: WhatsApp Messenger; Bildquelle: iOS App Store

WhatsApp hat bislang zwar einige Sicherheitslücken geschlossen, bleibt aber nach wie vor unsicher. Dem neuen Dienst Whistle.im stellt ein Mitglied des CCC Hannover ein verheerendes Zeugnis aus.

Die Apps weisen immer noch erhebliche Sicherheitslücken auf. Ein Einfallstor ist beispielsweise der Zugriff der App auf das interne Telefonbuch, der sich auf Android-Geräten nicht abstellen lässt.

Angreifer können über eine offenbar noch nicht geschlossene Sicherheitslücke auf fremde Konten bei den Bezahldiensten PayPal und Google Wallet zugreifen.

Heise/Security: „Android und die Passwörter: Offene Türen für Spionage“

Gute Nachrichten für iOS-User. Aus dem Artikel des deutschen Computer-Fachverlags vom 16. Juli 2013:

Dass man mit den sicherheitskritischen Daten der Anwender auch beim Backup sensibler umgehen kann, beweist Konkurrent Apple. Das iPhone speichert (WLAN-)Passwörter in der sogenannten Keychain. Diese Keychain wird zwar bei Backups in der iCloud ebenfalls mit gesichert – aber dabei mit einem Key verschlüsselt, der fest an das jeweilige Gerät gebunden und nicht auslesbar ist. Der iPhone-Hersteller versichert, dass weder Apple noch seine Zulieferer eine Kopie der 256-Bit-AES-Schlüssel haben.

…Will man Backups inklusive aller Passwörter auf ein anderes Gerät migrieren, muss man ein lokales Backup mit einem Passwort anlegen, das Apple dann ebenfalls nicht kennt.

Apple veröffentlicht White Paper: iOS Security“

PDF von Apple (seit Mai 2012) für technisch Interessierte und Experten:

Dieser Link wird von Apple in unregelmäßigen Abständen aktualisiert (zuletzt im Oktober 2012; 21 Seiten) und verschwindet, sobald eine neue Version des PDFs erscheint. Auf den Servern von Rossau/WordPress.com gesicherte Version:

Der deutsche Computer-Fachverlag Heise betrachtet das durchaus kritisch:

So erklärt Apple zwar, dass die Dauer zur Überprüfung eines Passcodes so justiert wurde, dass ein Knackversuch, der alle Kombinationen aus 6 alphanumerischen Zeichen durchprobiert, über fünfeinhalb Jahre dauern würde. Dass das gleichzeitig bedeutet, dass die standardmäßig vorgesehenen 4 Ziffern in weniger als 15 Minuten zu knacken sind und somit keinen ausreichenden Schutz bieten, muss man selbst nachrechnen.

Hacker veröffentlicht Tool, mit dem der Mechanismus der „Top In-App-Käufe“ in Apps umgangen werden kann

Obwohl es sehr verführerisch wäre, die oft lästigen, schlecht in den iTunes-Texten beschriebenen und ungeliebten „Top In-App-Käufe“ (engl. In App Purchases, kurz IAPs; gegen echtes Geld) in Apps und vor allem Spielen (Stichwort Smurfberries) zu hacken, ist von diesen Manipulationen schwerstens abzuraten.

Ein seit Freitag im Netz kursierender Hack ermöglicht es, sogenannte In-App-Käufe im Apples App Store für einige Apps kostenlos herunterzuladen. Neu ist die Sicherheitslücke nicht, wohl aber die Methode: Bereits im Vorjahr knackten Hacker Apples Bezahlsystem für Einkäufe innerhalb von Apps, dazu war aber ein Jailbreak des iOS-Geräts nötig. Die von dem russichen Entwickler Alexey V. Borodin veröffentlichte Methode kommt dagegen auch ohne Jailbreak aus: Sie erfordert die Installation von manipulierten CA-Zertifikaten auf dem Smartphone oder Tablet sowie die Umleitung der Internetverbindung über einen DNS-Server des Hackers, wie 9to5Mac berichtete.

Apple sagte gegenüber mehreren Tech-Newsseiten, dass das Unternehmen zu dem Hack Nachforschungen betreibe. Ein Tutorial-Video, das den Hack demonstriert, hat Youtube aus “Urheberrechtsansprüchen von Apple” inzwischen gesperrt. Auch der DNS-Server des Entwicklers scheint mittlerweile von Apple geblockt zu werden, schreibt er auf seiner eigenen Webseite in-appstore.com unter dem Pseudonym ZonD Eighty. Er kündigte dort aber am heutigen Sonntag an, in Kürze eine neue, funktionierende Anleitung zu veröffentlichen.

Abgesehen davon, dass die Methode in Deutschland illegal sein dürfte, ist von der Nutzung auch aus Sicherheitsaspekten in höchstem Maße abzuraten. Der Hack hebelt die Sicherheitsvorkehrungen von Apple aus, Account-Informationen wie das App-Store-Passwort per SSL zwischen Gerät und Apple-Server zu übermitteln. Durch die Umleitung dieser Kommunikation zu einem externen Server kann der Server-Betreiber wie ein “Man-In-The-Middle” – in diesem Fall der Hack-Entwickler Borodin – diese Informationen auslesen, wie Borodin gegenüber dem Magazin Macworld übrigens bestätigte.

iPhone-Apps von Dropbox und Facebook angreifbar

Eine Sicherheitslücke in den iOS-Anwendungen von Dropbox und Facebook ermöglicht Angreifern den Diebstahl von Login-Daten. Facebook spielt das Risiko herunter…

Die Ende März von dem britischen Entwickler Gareth Wright entdeckte Lücke in der iOS-App von Facebook besteht – anders als von Facebook dargestellt – offenbar nicht nur nach einem Jailbreak. Die App speichert alle zur Anmeldung relevanten Zugangsdaten bei der Social-Media-Plattform in einer Textdatei. Kopiert man diese Datei auf ein anderes iPhone, übernimmt dieses die Zugangsdaten. Nicht nur Facebook ist betroffen…

Zum Auslesen der Datei mit den Authentisierungsdaten benötigt der Angreifer direkten Zugriff auf das Gerät… Gareth Wright sieht allerdings keinen Grund zur Panik. Als Sicherheitsmaßnahmen empfiehlt er, das iPhone per Kennwort zu schützen (nicht nur per PIN), die Funktion “Mein iPhone suchen” zu aktivieren und das Gerät nicht zu entsperren, während es an fremden Ladegeräten angeschlossen ist.

Pflichtübung: Betriebssystemaktualisierungen

Siehe anlässlich iOS 5.0.1 am 11. 11. 11; Rossau: Apple veröffentlicht iOS 5.0.1 und behebt Fehler, die die Batterielaufzeit beeinträchtigten, dazu kommt das Schließen eines Sicherheitslecks, das erst vor kurzem bekannt wurde (Details im Rossau-Artikel).

Ganz allgemein kann alleine schon wegen der jedesmal vorhandenen Security-Merkmale empfohlen werden, iOS-Updates stets so rasch wie möglich und mehr oder weniger bedenkenlos zu installieren.

Ich habe das jetzt schon dutzende Male (seit iPhone 3G, dann mit iPad orig., iPad 2 und iPhone 4) durchgeführt und darf bestätigen, dass die Angelegenheit völlig unproblematisch und weitgehend vollautomatisch abläuft. Sämtliche Einstellungen werden übernommen, die Geräte sind (bei over-the-air Delta-Updates via WLAN/WiFi) zirka zehn Minuten lang außer (widmungsgemäßem) Betrieb und sollten sicherheitshalber an eine Stromversorgung angeschlossen werden.

Apple: Security Updates (engl.)

Schon wieder kritische Lücke im PDF-Reader

Wieder einmal musste vor dem Öffnen von PDF-Dateien gewarnt werden. Details hier in der Rossau:

Ganz allgemein gilt: Apple-iOS-Updates stets so rasch wie möglich installieren!

Heise: “Lücke in Online-Banking-App iControl”

Der deutsche Computer-Fachverlag Heise am 27. Juni 2011: Erneute Lücke in Online-Banking-Programm fürs iPhone; daraus: “Das Online-Banking-Programm iControl speicherte sein Zugangspasswort im Klartext auf dem Gerät. Ein Finder oder Dieb konnte sich damit Zugang zu allen gespeicherten Daten verschaffen.” Siehe auch frühere Warnungen dahier vor Online-Banking, und das betrifft nicht nur Smartphones.

Trotz der scheinbar ungemein praktischen Eigenschaften sollte Online-Banking vermieden werden, wann immer es geht. Wie aus dem Heise-Artikel hervorgeht, “kennt sich der Entwickler in Sicherheitsfragen nicht aus”, und Apple übernimmt – trotz traditionell ausgeprägtem Kontrollfimmel bei der Zulassung von Applikationen – höchstwahrscheinlich keinerlei Verantwortung für Apps von Drittherstellern, falls irgendwas Gröberes schiefgehen sollte mit der Software (etwa jemand das Konto plündert).

iPhone/iPad-3G-Aufenthaltsorte werden am Mac/PC und iPhone/iPad gespeichert

20. April 2011. Die heute veröffentlichte quelloffene Mac-Anwendung iPhone Tracker (Hersteller-Website) liest den von einem iPhone oder iPad 3G kontinuierlich gespeicherten und ungefähren Aufenthaltsort aus einer Datenbank aus.

Abbildung/Quelle: Hersteller

Gleich vorweg: Nach zwei Wochen gehörigem Aufruhr in der internationalen Presse hat sich der Tumult schlagartig wieder gelegt. Apple hat mit der alsbaldigen Betriebssystem-Aktualisierung auf iOS-Version 4.3.3 (s. u.) einen unbedeutenden Programmierfehler eingeräumt und das „große Problem“ offenbar aus der Welt geschafft.

Es sind weder Datenverluste (eher im Gegenteil) noch andere Schäden oder Beeinträchtigungen in der Sicherheit der Privatsphäre der iPhone- und 3G-iPad-Benutzer bekanntgeworden, und es bestand auch keinerlei diesbezügliche Gefahr, sofern die User Kontrolle darüber ausübten, wer physischen Zugang zu ihren Geräten hatte, was eigentlich selbstverständlich sein sollte.

Wer sich dennoch dafür interessiert, hier die Ereignisse in zeitlicher Abfolge (wer jedoch im Rossau-Security-Artikel über iPhone, iPad und iPod touch oberflächlich weiterschmökern und gleich zum nächsten Inhaltspunkt springen möchte, klickt/tappt einfach hier):

Exzerpt aus dem Spiegel-Artikel:

Das iPhone zeichnet ständig standardmäßig auf, wo sich der Nutzer aufhält – und speichert diese Information in eine Datei auf dem Telefon. Schließt man das iPhone an den Rechner an und startet eine Synchronisierung, wird die Datei auf den Computer überspielt – unverschlüsselt. Dort kann sie praktisch von jedem ausgelesen werden, der Zugang zu dem Gerät hat.

Exzerpt aus dem Artikel von Ars Technica:

But even if you check the box to encrypt your iPhone backups on the computer, the file is still unencrypted on your iPhone, and it wouldn’t be hard for someone with ill intentions to access it.

Von diesen Erkenntnissen berichteten im Fernsehen einigermaßen ausführlich die ORF-Mittagsnachrichten (ZiB 13 Uhr) sowie einige Tagesschau-Ausgaben der ARD.

Auf eigene Gefahr: Alternative Software mit Darstellung in Google Maps. Der Entwickler ist im MacRumors-Thread anwesend und meint in seinem Blog: „I will publish the source code in a few hours as well.“ Trotzdem behauptet wird „…without restrictions like artificial reduced accuracy“, zeigt die App bei mir sehr viel Unsinn an. Mit der Anwendung abwarten, bis Quellcode offenliegt; bis dahin den oben erwähnten iPhone Tracker verwenden, falls Interesse an dem ganzen Theater besteht.

21. April 2011

Heise: Wirbel um Aufzeichnung von Ortungsdaten im iPhone. Zusammenfassung: Geodaten-Aufzeichnung (in diesem Fall nicht GPS-Daten, sondern 3G/WiFi-Triangulierung, d. h. oft vage Informationen zu den umgebenden Funkzellen sowie Daten zu den WLAN-Basisstationen im Umfeld) ist in Fachkreisen schon länger bekannt, dennoch Besorgnis, es handelt sich jedoch nicht um eine geheime „Big-Brother-Datei“, sondern vermutlich um „nachlässige Programmierung“, keine Stellungnahme bisher von Apple, die Sicherungskopien in iTunes können auch verschlüsselt und damit für Fremde unzugänglich gemacht werden.

22. April 2011

23. April 2011

24. April 2011

25. April 2011

26. April 2011

27. April 2011

Langsam beruhigen sich die Gemüter wieder. Wie immer. Es gibt offizielle Stellungnahmen.

4. Mai 2011

Was auch immer an diesen spektakulär von den Medien breitgetretenen Erkenntnissen dran ist oder nicht, es sei ausdrücklich darauf hingewiesen, dass das iPhone 3G seit iOS 4.3 von allen Apple-iOS-Aktualisierungen ausgeschlossen ist.

Habakuks Tipp, der so alt ist wie das iPhone. Wenn man nicht möchte, dass diese Daten von Apple und/oder (viel wichtiger!) den Mobilfunk-Netzbetreibern in welcher Form auch immer erfasst und aufgezeichnet werden: „Flugmodus“ einschalten (in den iPhone-Einstellungen ganz oben zu finden), oder – noch besser – das Smartphone ganz ausschalten (engl. Power Off, Rossau-Begriffserläuterung, nicht zu verwechseln mit dem Sperren/Standby-Modus).

Man ist dann zwar in dieser Zeit nicht direkt erreichbar, aber die Provider (zumindest meiner) informieren über verpasste Anrufe, sobald man wieder im 3G-Netz eingeloggt ist, und auch die SMS-Textmitteilungen und Push-Benachrichtigungen werden i. A. zuverlässig nachgereicht.

Und nochmal die Selbstverständlichkeit, die gilt, seit es Computer gibt: Unbedingt stets kontrollieren, wer physischen Zugriff auf die iGeräte und die dazugehörigen Macs/PCs (mit denen der iTunes/USB/Sync durchgeführt wird) hat. Mit Kennwörtern absichern.

Und wenn sonst schon nichts Besonderes von alldem bleibt, haben wir wenigstens ein lustiges englisches Wort dazugelernt:

AppShopper.com: Hubbub

27. November 2013, kleiner Nachtrag:

  • MacRumors: Judge Dismisses Lawsuit Over Apple’s Location Tracking in iOS, na bitte, nun ist’s sogar amtlich
  • Heise/Mac & i: Datenschutz-Klage gegen Apple von US-Gericht abgewiesen, daraus: „Die Kläger konnten allerdings nicht zeigen, dass sie in diesen Fällen einen Schaden erlitten haben, schreibt Richterin Koh in der Begründung der Klageabweisung – ein Kläger müsse zumindest ‚irgendeinen Beweis‘ erbringen, dass er die ‚unterstellten Falschdarstellungen von Apple gesehen, sich auf diese verlassen und dadurch einen Schaden erlitten habe‘, betont Koh in ihrer Entscheidung.“ Und falls es wieder heißt: „…okay, Apples Haus- und Hof-Richterin Koh hat wieder ganze Arbeit geleistet“, hier ein passendes Posting aus dem Heise-Forum.

Experten demonstrieren Sicherheitsproblem: Diebe können iPhone-Kennwörter auslesen

Unter Umständen. Computer-Fachverlag Heise Anfang Februar 2011: iPhone verloren, Passwörter weg. Daraus: “Den Fraunhofer-Mitarbeitern ist es gelungen, trotz Passcode-Sperre unter anderem abgespeicherte Passwörter aus einem iPhone auszulesen. Somit bedeutet ein verlorenes oder geklautes iPhone nach wie vor ein ernsthaftes Sicherheitsproblem – auch bei der aktuellen iPhone-Generation.”

MacRumors: Researchers Demonstrate Vulnerability Allowing Theft of iPhone Passwords mit Video.

Kleine Hürde: Apples App Mein iPhone suchen

Dagegen hilft nach wie vor und wie schon so oft zitiert die ganz einfache Eselsbrücke, die jeder kennt und intuitiv befolgt:

Smartphone, Schlüsselbund und Geldbörse! Darauf aufpassen!

Nicht achtlos rumliegen lassen trotz Apples kostenloser und genial durchdachter Mein iPhone/iPod touch/iPad suchen-App. (iOS-App-Store Link zur Universal-App.)

Sobald diese App eingerichtet ist (Voraussetzungen: iOS-Betriebssystemversion 5 oder neuer und ein nur für dieses Feature kostenloser MobileMe-Account bei der Firma Apple; Wikipedia: MobileMe), braucht man sich nur Apple-ID (meist die eigene E-Mail-Adresse) und das iTunes-Kennwort (weiß eh jeder) zu merken und kann damit an jedem Computer der Welt den ungefähren Standort des iPhones feststellen, Fernlöschungen durchführen, Messages senden oder einfach nur eine spezielle Klingel am iPhone ertönen lassen (falls man es in der unmittelbaren Umgebung verlegt hat) und mehr…

Bestimmt nicht hundertprozentig sicher, aber besser als gar nix, und zumindest eine gewisse Abschreckung für potenzielle Diebe. Weitere Informationen und Sicherheitshinweise zu der App im Rossau-Beitrag Apple bringt neue Betriebssystem-Version iOS 4.2.1 heraus vom 22. November 2010.

Geodaten in iPhone-Fotos

iPhone-Einstellungen

Hier in der Rossau wurde schon öfter darauf hingewiesen, Spiegel Online bringt es nochmal auf den Punkt: Wenn Handy-Fotos zu viel verraten, daraus:

Ein GPS-Empfänger gehört längst zur Standardausstattung von Smartphones. Außer zur Navigation kann der auch genutzt werden, um Handyfotos mit Ortsmarken zu versehen. Stellt man solche Bilder unbedacht ins Internet, verraten sie möglicherweise mehr, als man preisgeben will.

Und damit sind nicht die bildnerisch dargestellten Inhalte gemeint, sondern die über das eingebaute Apple-Service “Ortungsdienste” hinzugefügten Positionsdaten. Im Bildschirmfoto ist die entsprechende Liste in den iPhone-“Einstellungen – Allgemein” zu sehen, wo diese Dienste für jede App separat an- und abgestellt werden können. Ein kleiner lila Pfeil weist darauf hin, dass diese Software-Applikation vor kurzem (innerhalb von 24 Stunden) die Ortungsdienste verwendete. Den Pfeil gibt’s auch in der Statusleiste ganz oben (bei der Uhr), wenn eine solche App aktiv ist. Siehe dazu auch das “iPhone-Benutzerhandbuch” in den Safari-Lesezeichen.

Datenschutzproblem bei IPv6

Bislang betrifft das Problem erst wenige User, weil IPv6 noch nicht weit verbreitet ist. Doch im Laufe dieses Jahres werden die Deutsche Telekom und einige weitere Provider IPv6 zusätzlich zum alten IPv4 freischalten.

Wikipedia: IPv6; daraus: “Das Internet Protocol Version 6 (IPv6) ist der Nachfolger der gegenwärtig im Internet noch überwiegend verwendeten Version 4 des Internet Protocols. IPv6 spezifiziert die Vorgänge, die zur Vermittlung von Daten durch ein paketvermittelndes Datennetz notwendig sind, wie etwa die Adressierung der beteiligten Netzwerkelemente (Rechner oder Router) und den Vorgang der Paketweiterleitung zwischen Teilnetzen (Routing).”

Im aktuellen iOS 4.3 aktiviert Apple nun die “Privacy Extensions”, die statt einer festen Hardware-ID regelmäßig wechselnde Zufallszahlen benutzen. Diese Änderung verbirgt sich hinter einem schamhaften Verweis auf den (seit 2007 überholten) RFC 3041 unter der Überschrift “Networking” in der Liste der Änderungen im neuen iOS.

Aus dem soeben erwähnten Apple-Dokument:

The IPv6 address chosen by the device contains the device’s MAC address when using stateless address autoconfiguration (SLAAC). An IPv6 enabled server contacted by the device can use the address to track the device across connections. This update implements the IPv6 extension described in RFC 3041 by adding a temporary random address used for outgoing connections.

Kein Online-Banking

App "iOutBank"; Bildquelle: Heise

App “iOutBank”; Bildquelle: Heise

Heise am 3. Dezember 2010: iPhone-Banking mit gravierenden Lücken, – betrifft Apps, die für Deutschland gedacht sind. Gilt aber auch für alle anderen Länder, in denen Online-Banking-Apps auftauchen.

Der deutsche Computer-Fachverlag weiter am 22. Dezember 2010: PIN und TAN auf Reisen – iPhone-Banking-Apps im Sicherheitscheck; daraus:

Mit dem Internet in der Hosentasche kommt schnell der Wunsch auf, auch unterwegs den Kontostand zu checken oder mal eben eine Überweisung durchzuführen. Spezielle Apps versprechen mehr Komfort und vor allem mehr Sicherheit als der Web-Browser. In allen drei Online-Banking-Apps fanden sich gravierende Sicherheitsmängel, die letztlich TANs kompromittieren können und damit Online-Banking-Transaktionen gefährden. iControl enthält so viele Nachlässigkeiten, dass man nur empfehlen kann, einen großen Bogen darum zu machen. Bei iOutBank und S-Banking hingegen treffen unterschiedliche Philosophien aufeinander, bei denen nicht von vornherein klar ist, welcher Ansatz letztlich weniger Risiko bedeutet.

Neue Game-Center-AGB nicht akzeptieren

Rossau am 30. November 2010: Apple ändert Game-Center-Geschäftsbedingungen und macht von Realnamen Gebrauch. Es gilt dasselbe wie für alle ähnlichen Sozialen Netzwerke: Der echte Name und persönliche Daten (private Fotos…) haben in diesen öffentlichen und halböffentlichen Bereichen des Internets nicht das Allergeringste zu suchen! Das gilt seit der Erfindung des Netzes. Und heutzutage mehr denn je.

Heise: “Web-Seiten können iPhone-Anwendungen ohne Nachfrage starten”

Link zum Artikel des deutschen Computer-Fachverlags.

Vorbeugen ist besser als…

Pflichtlektüre: heise mobil im Oktober/November 2010:

Zwar reichlich technisch, aber Anti-Nerds können diese Passagen ja überspringen. Auf jeden Fall empfehlenswert! Vorsicht besonders in öffentlichen WLANs. Insgesamt kommt mir vor, dass das iPhone etwas besser abschneidet, sofern stets die jüngsten Apple-iOS-Updates eingespielt werden. Aus dem Resümee:

Dennoch lässt sich an den Testergebnissen ein Muster ablesen: das iPhone hat bei der Sicherung seiner Datenübertragung die Nase vorn. Wenn iPhone-Apps verschlüsseln, dann ordentlich. Unter Android scheint jede App ihr eigenes SSL-Süppchen zu kochen und mehrere getestete Apps verzichteten gleich ganz auf verschlüsselte Logins.

Grundsätzlich gilt: Hütet euer Smartphone wie Geldbörse und Schlüsselbund.

Lücke in der Code-Sperre

Da der Trick nun bekanntgeworden ist, sollte man sich bis iOS 4.2 auf die Sperre nicht allzu sehr verlassen.

Facebook-Ortung abstellen

Kritische Lücke im PDF-Reader

Sicherheitsmaßnahmen nach Jailbreak

  1. Nach einem Jailbreak (Begriffserläuterungen weiter unten) die Remote-Access-App OpenSSH nicht installieren *), solange man nicht genau weiß, was man tut (Cydia Link zur Information; Cydia/Saurik-Links sind unstabil und gelegentlich nicht zu erreichen)
  2. Falls SSH unter keinen Umständen vermieden werden kann, wird dringendst angeraten, den vorliegenden Artikel bis zum Ende zu lesen und sogleich eine der hier aufgezählten Anleitungen zu befolgen

Empfohlene Anleitungen

Weitere Anleitungen
(die ersten beiden sind illustriert)

  • Blog iClarified: How to Change the Root Password on Your iPhone
    Im Anleitungsarchiv iClarified fehlt ein Hinweis, dass auch für das vom Werk eingerichtete Benutzerkonto “mobile” das Kennwort geändert werden muss, sonst ist das iPhone nach wie vor völlig unzureichend geschützt!
  • Computermagazin Macworld: Secure your jailbroken iPhone with a passwordchangeDas Update ganz unten in dem Artikel von Macworld beachten!
  • Blog Extra Future: How To: Change Your iPhone’s Root Password
    Die Kennwörter des iPhone können auch von einem Mac oder PC im gleichen WLAN (Wi-Fi) aus getauscht werden. In der betagten Anleitung von Extra Future fehlt wiederum das User-Konto “mobile”, unbedingt auch dessen Kennwort ändern! Außerdem sollten die Passwörter dringend behandelt werden, bevor das iPhone irgendeine drahtlose Verbindung aufbaut (siehe weiter unten: “Fünf wichtige Hinweise”).

Zusätzliche Informationen

Fünf wichtige Hinweise

    1. Merke: Falls irgend etwas schiefgeht, oder die neuen Kennwörter vergessen werden, muss das iPhone neu aufgesetzt werden (factory reset), dabei werden sämtliche Daten und Einstellungen gelöscht.

SSH-Schalter in SBSettings auf einem jailbroken iPhone

  1. Es reicht nicht, in SBSettings SSH zu deaktivieren, weil es sich bei einem Neustart des iPhones oder zu anderen Gelegenheiten (etwa einem “Respring” mit der manipulierten Applikation SpringBoard) wieder von selbst aktiviert, und der User davon möglicherweise nichts mitbekommt. SBSettings (Cydia Link) ist eine Art technische Schaltzentrale, die nach einem Jailbreak zur Verfügung steht. Informationen (engl.) bei Wikipedia über SpringBoard.
  2. <Paranoia AN> Wenn das jailbroken iPhone, auf dem OpenSSH installiert wurde, mit den vom Werk vorgegebenen Standardkennwörtern “alpine” respektive “dottie” bereits ins Netz (Internet) gegangen ist, kann es sein, dass es sofort mit einem Backdoor (Wiki) oder Rootkit (Wiki) infiziert wurde und seitdem – vom User unbemerkt – von einem Botnet (Wiki) kontrolliert wird. Es ist zu spät und bringt überhaupt nichts, jetzt noch die Kennwörter zu tauschen. Der einzig sichere Weg, um dieses Schlamassel zu bereinigen, ist, das Betriebssystem des iPhones über den DFU-Modus (Device Firmware Update) neu aufzusetzen. (iClarified: Einstellen des DFU Modus bei einem IPhone, orig:How to Put an iPhone Into DFU Mode).
  3. Falls es nicht mehr benötigt wird, OpenSSH sofort über Cydia löschen und danach das iPhone neu starten, weil die meisten Kennwörter unsicher sind! **) </Paranoia AUS>
  4. Merke: Jede Apple-Betriebssystemaktualisierung (OS-Update) und jedes “Wiederherstellen” über iTunes setzt die Standardkennwörter “alpine” beziehungsweise “dottie” für das Administratorkonto root beziehungsweise das Benutzerkonto mobile wieder zurück!

*) Ist SSH Daemon installiert oder nicht?

  1. Terminal.app (Mac OS X) oder Mobile Terminal (auf jailbroken iPhones; Cydia Link) öffnen
  2. Nach der Eingabeaufforderung (zumeist) in Form eines Dollar-Zeichens ($; Wiki) which sshd eintippen, “sshd” bedeutet “secure shell daemon”
  3. Return-Taste (Zeilenschaltung) betätigen
  4. Falls SSH installiert ist, bringt Terminal in der nächsten Zeile eine Meldung ähnlich wie “/usr/sbin/sshd”, – und falls nicht, erscheint eine Fehlermeldung
  5. Terminal durch Eintippen von exit und Return-Taste beenden

Merke: OpenSSH ist auf Mac OS X standardmäßig eingerichtet.

**) Empfohlener Apple-Kennwortassistent

Der Generator von Apples Betriebssystem Mac OS X bietet zufällig hergestellte Kennwörter

  1. Im Apple-Hauptmenü Systemeinstellungen… ansteuern
  2. In der Rubrik System auf das Icon Benutzer, im nächsten Dialogfeld auf die Schaltfläche Kennwort klicken
  3. Der Kennwortassistent ist zugänglich, wenn bei einem Account das Kennwort geändert (oder ein neuer Account hinzugefügt) und auf das Schlüsselsymbol geklickt wird (siehe Anmerkung vier Absätze weiter unten)

Der Assistent in Mac OS X (ab Version 10.4 Tiger) kann folgende Typen von Passwörtern generieren:

  • Einprägsam (empfohlen)
  • Buchstaben & Ziffern
  • Nur Ziffern
  • Zufällig
  • FIPS-181-kompatibel (nicht empfehlenswert, aber besser als gar nichts)

Die Länge des Kennworts kann mit einem Schieberegler eingestellt werden, eine farbige Balkenanzeige informiert über Qualität und Sicherheit – und zwar auch von solchen Kennwörtern, die nicht per Zufallsgenerator hergestellt, sondern selbst eingetippt werden. Sicherheitsexperten empfehlen, die Tipps (orig. Password hint) nicht auszufüllen.

Merke: Um von Mac OS X Kennwörter generiert oder beurteilt zu bekommen, muss freilich weder ein Benutzer-Account hinzugefügt noch ein Passwort geändert werden; sobald man sein geheimes Geschäft erledigt hat, das Assistent-Fenster mit dem versteckten roten X in der Titelleiste (oben links) schließen und im höherrangigen und nicht betitelten Fenster (das mit dem “Tipps”-Textfeld) die mit Abbrechen beschriftete Schaltfläche betätigen. Systemeinstellungen schließen, – nichts wurde verändert oder hinzugefügt.

iPhone-App 1Password Pro

Für iDevices bietet die bis 1. Dezember 2009 kostenlos erhältliche Third-Party-App 1Password Pro ebenfalls einen Kennwort-Generator. Siehe dazu
Rossau: Passwort-Manager kurze Zeit gratis.

Im Internet finden sich zahlreiche Passwort-Generatoren, bitte um Vorsicht, die könnten Hinterlistiges im Schilde führen. Empfohlen wird
Gibson Research Corporation: GRC’s Ultra High Security Password Generator.

Doppeldeutige Zeichen wie etwa den Großbuchstaben O und die Ziffer 0 vermeiden, ebenso die Buchstaben I, l, i, j, Ziffer 1 und Sonderzeichen wie | (alt+7), /, \, [, ], -, –, — und _, ‘, ` und ´, da die beim Schreiben, Lesen und Eintippen leicht verwechselt werden können. Beim Ausdrucken von Passwörtern die Schriftart/Font “Courier” verwenden.

Aktueller Artikel bei Heise speziell zu Passwörtern.
Für die Katz: Sicherheitsratschläge mit Kommentaren zum diesbezüglichen Thesenpapier eines durch jede Menge Phishing-, Keylogger- und Brute-Force-Angriffen leidgeprüften Microsoft-Security-Experten.

18. August 2011. Heise: SSL-Patch für iPhones mit Jailbreak

Zusammenfassung

Zum derzeitigen Stand der Informationen sind iPhones ohne Jailbreak vor Wurmbefall sicher. Ebenso jailbroken iPhones, auf denen OpenSSH nicht installiert ist; sowie solche, auf denen zwar OpenSSH installiert wurde, die beiden Passwörter jedoch geändert wurden (siehe oben), bevor sich diese Geräte ins Netz (über WLAN/WiFi oder Mobilfunk) einloggten oder über Bluetooth (Wikipedia) mit anderen Online-Geräten Kontakt aufnahmen.

Letzte Aktualisierung des SSH-Artikels vom 1. Dezember 2009

Änderungen, Errata, Ergänzungen

1. Dezember 2009, hinzugefügt:
“und danach das iPhone neu starten” bei “Fünf wichtige Hinweise”, Punkt 4.

1. Dezember 2009, hinzugefügt:
Letzte Rubrik: “Änderungen, Errata, Ergänzungen”

4. August 2010, hinzugefügt:
“Kritische Sicherheitslücke im PDF-Reader”

12. August 2010, ergänzt:
“Kritische Sicherheitslücke im PDF-Reader” (behoben)

5. Oktober 2010, ergänzt:
“Facebook-Ortung abstellen”

26. Oktober 2010, ergänzt:
“Sicherheitslücke in der Code-Sperre”

26. Oktober 2010, ergänzt:
“Vorbeugen ist besser…”

10. November 2010, ergänzt:
“Web-Seiten können iPhone-Anwendungen ohne Nachfrage starten”

30. November 2010, ergänzt:
“Neue Game-Center-AGB nicht akzeptieren”

3. Dezember 2010, ergänzt:
“Kein Online-Banking”

3. Jänner 2011, ergänzt:
“Kein Online-Banking” (zweiter Heise-Artikel)

15. Jänner 2011, ergänzt:
“Datenschutzproblem bei IPv6″

15. Jänner 2011, ergänzt:
“Geodaten in iPhone-Fotos”

14. Februar 2011, ergänzt:
“Sicherheitsproblem mit Kennwörtern”

11. März 2011, ergänzt:
“Datenschutzproblem bei IPv6″ (zweiter Heise-Artikel, Apple-Exzerpt)

11. März 2011, ergänzt:
Inhaltsverzeichnis ganz oben

20. April 2011, ergänzt:
“iPhone/iPad-3G-Aufenthaltsorte werden am Mac/PC und iPhone/iPad gespeichert”

Weitere Ergänzungen am Artikelanfang…

Alle Angaben im vorliegenden
Rossau-Artikel “Sicherheitsmaßnahmen”
OHNE GEWÄHR!

11 Antworten zu Sicherheitsmaßnahmen

  1. Pingback: Jailbreak, Hacktivation, Unlock « Rossau

  2. Pingback: Pressespiegel « Rossau

  3. MacAndreas schreibt:

    Hallo,

    Du schreibst unter “Paranoia” …das Betriebssystem des iPhones über den DFU-Modus neu aufzusetzen…

    Ist der DFU Modus wirklich erforderlich oder reicht es auch in iTunes eine Aktualisierung mit Alt + Update durchzuführen?

    Gruß,
    Andreas

    • Habakuk schreibt:

      Ich würde sagen, das hängt vom Grad der Paranoia ab. :) Nein, im Ernst: Militärische Sicherheit (man denke auch an Industriespionage) = DFU-Modus. Dann kannst Du Dich bei allfälligen Sicherheitsproblemen auf die Firma Apple ausreden.

      Ich weiß auch nicht genau, was Du mit “Aktualisierung durch Alt + Update in iTunes” meinst. Die im Artikel angeführten Heise-Links durchlesen.

  4. Pingback: Weckerfehler + “Mobile Bedrohungen” + Kleine iOS-4.2/iPhone-5-Vorschau | Rossau

  5. Pingback: Apple kündigt OS X ‘Lion’, iOS 5 und ‘iCloud’ an | Rossau

  6. Pingback: Sperren, Ausschalten, Neustart, Zurücksetzen… | Rossau

  7. Pingback: OS X 10.8: In iCloud Ordner anlegen | Retina Mac

  8. Pingback: Heise: «Sicherer Instant-Messenger aus der Schweiz ‹Threema›» (iPhone 16:9) + Apples Offenlegung zu behördlichen Anfragen | Rossau

  9. Pingback: Lästige Banner, iAd, Text-Werbung und Pop-Ups in Apps + YouTube + Browsern loswerden mit ‚Weblock – AdBlock for iOS‘ (Universal Retina 16:9) [Blogposting aktualisiert] | Rossau

  10. Pingback: Wichtiges Security-Update! Apple veröffentlicht iOS 7.0.6 und iOS 6.1.6 mit Problembehebung bei SSL-Verbindungen | Rossau

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ photo

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s