Sicherheitshinweis

by Volker Weber

Stefan Krempl für heise online:

Haupert führte eine Demo für eine App der VR-Banken vor, auf einem Nexus 5X mit Android 7.0 und einem Sicherheitsupdate vom Ende 2016, bei dem einige Verwundbarkeiten noch nicht geflickt seien.

Es ist immer das gleiche Pattern: Altes Android-Handy mit alter Android-Software. Einfach Schlussfolgerung: Meide alte Android-Handys, oder einfacher, meide Android-Handys.

Ich gebe Sicherheitsforschern immer wieder mal mein aktuelles iPhone in die Hand und bitte sie, mir ihren Exploit zu demonstrieren. Das hat ohne Ausnahme noch niemals jemand geschafft. Dabei haben sie alle eins. Sie scheitern bereits an den "unsicheren" Zugangssperren wie TouchID oder FaceID.

Comments

Wenn ich den Vortrag richtig verstanden habe, wirbt der Anbieter damit, dass er ungeachtet eines gefährlichen Umfelds die eingepackte App sicher macht.
Dort wurde das Gegenteil gezeigt und noch dazu, dass, wenn man es einmal geschafft hat, das Vorgehen für alle mit dem Tool "gesicherten" Apps gleich ist.

Für die Demo wurde eine alte und in den meisten Fällen schon gefixte Sicherheitslücke verwendet. Gibt es keine Lücke, ist das wahrscheinlich nicht möglich. Aber es gibt diese Lücken nun mal - hin und wieder - und der Anbieter argumentierte damit, dass das für die Sicherheit seines Tool unerheblich sei. Was es nicht ist. Gäbe es keine Lücken, bräuchte es das Tool in der beworbenen Form aber wohl auch nicht.

Für den Normalanwender hat das keine Bedeutung. Aber die Banken haben dafür Geld ausgegeben - und letztlich haben die Bankkunden das bezahlt -, aber es taugt nicht.

Marc Patermann, 2017-12-28

Wenn man kein altes Android-Handy hat, hat das nie eine Bedeutung.

Volker Weber, 2017-12-28

Im Artikel heißt es aber auch:
"Bei Geräten mit Apples Mobilsystem iOS gebe es ähnliche Checks wie bei Android, sodass man Nomorp dafür ohne allzu große Mühen umschreiben könnte."

Trotzdem fühle ich mich, wie du, mit meinem iPhone deutlich sicherer als mit einem (schlecht gepatchtem Android-Gerät).

Stephan Grunwald, 2017-12-28

Ich möchte einfach sehen, wie jemand ohne allzu große Mühen auf meinem iPhone sowas macht. Hat bisher noch keiner.

Volker Weber, 2017-12-28

Gut. Gut. Security und Privacy sind wesentliche features der iOS Plattform. Solange Apple die Plattform geschlosse hält, ist es auch deren ureigenes Interesse in beiden Bereichen Stärke zu beweisen.

Nur was bringt das alles wenn der „Normalo“ die Abstrakte Gefahr eines Digitalen angeiffs nicht abschätzen kann und akzeptiert und wenn die persönliche Identität längst an Google, Facebook und Amazon verkauft wurden. Vermutlich hat Michael Seemann recht und die Gesellschaft hat diese Werte bereits abgeschrieben.

Daneben bleibt zu beachten, dass die iOS Plattform aucj für Hacker ein mehr als Attraktives Ziel ist. Zwar ist es schwieriger die Barrieren nieder zu reisen, hat man es aber mal geschafft steht potentiell die komplette Plattform mit zig Millionen Endgeräten ubd Zahlsystem offen. Da es keine absolute Sicherheit gibt, ist es wahrscheinlich, dass es früher oder später einen erfolgreichen Angriff geben wird. Auf der anderen Seite zeigt das auch den immensen Aufwand den Apple permanent betreibt um die Plattform sicher zu halten.

Dominique Roller, 2017-12-28

Volker, ein Sicherheitsforscher kann seinen Exploit nicht auf Deinem iPhone demonstrieren, weil er erst dann an die Öffentlichkeit/Presse gehen wird, wenn er dem Hersteller die Sicherheitslücke gemeldet und genügend Zeit gegeben hat diese zu beheben.

Solange sich Apple also nicht weigert, eine Lücke zu patchen, wirst Du also erst dann von einer Sicherheitslücke erfahren, wenn sie auf Deinem iPhone nicht mehr existiert.

Du müsstest Dich also an Hacker mit 0-Days wenden, nicht an Sicherheitsforscher.

Hilbert Trekel, 2017-12-28

Hilbert, Du übersiehst, wo ich wohne. :-)

Natürlich gibt es auch bei iOS Schwachstellen. Aber die sind dermaßen teuer, dass sie sich weder Sicherheitsforscher noch Ganoven leisten können.

Volker Weber, 2017-12-28

Es gibt für technisch versierte bei vielen alten Android Geräten noch die Möglichkeit ein LinageOS zu installieren. Das sieht für mich immer noch aus wie eine sichere Alternative zu iOS.

Hagen Bauer, 2017-12-28

Ich halte es für eine sicherere Alternative zu veralteten Android-Installationen.

Volker Weber, 2017-12-28

Nexus 5X wird immer noch mit aktuellen Sicherheitsupdates beliefert. Aktuell 8.1.0.

Nina Wittich , 2017-12-29

Schon klar. Es hat einen Grund, warum die Sicherheitsburschis ihre Fähigkeiten mit alter Software zeigen.

Volker Weber, 2017-12-29

Recent comments

John Görken on IKEA to launch Sonos-powered Symfonisk in August at 00:57
Volker Weber on Microsoft, why does this have to be so freaking hard? at 21:21
Gerhard Heeke on Microsoft, why does this have to be so freaking hard? at 21:02
Thomas Cloer on Microsoft, why does this have to be so freaking hard? at 20:30
Volker Weber on Microsoft, why does this have to be so freaking hard? at 20:03
Volker Weber on Microsoft, why does this have to be so freaking hard? at 20:01
Thomas Cloer on Microsoft, why does this have to be so freaking hard? at 20:01
Daniel Kirstenpfad on Microsoft, why does this have to be so freaking hard? at 19:50
Ragnar Schierholz on Microsoft, why does this have to be so freaking hard? at 19:04
Robert Treuenfels on Microsoft, why does this have to be so freaking hard? at 18:44
Ben Langhinrichs on Microsoft, why does this have to be so freaking hard? at 18:06
Johannes Koch on IKEA to launch Sonos-powered Symfonisk in August at 14:48
Henning Heinz on IKEA to launch Sonos-powered Symfonisk in August at 12:22
Martin Hiegl on IKEA to launch Sonos-powered Symfonisk in August at 12:15
Volker Weber on IKEA to launch Sonos-powered Symfonisk in August at 11:45
Thomas Odorfer on IKEA to launch Sonos-powered Symfonisk in August at 11:42
Henning Heinz on IKEA to launch Sonos-powered Symfonisk in August at 11:05
Henk Aichernig on IKEA to launch Sonos-powered Symfonisk in August at 10:48
Bodo Menke on IKEA to launch Sonos-powered Symfonisk in August at 09:07
Nick Daisley on Apple Smart Battery Cases at 10:18
Ragnar Schierholz on Pepper könnte noch leben at 22:12
Matthias Lorz on Pepper könnte noch leben at 22:00
Christopher Schmidt on Pepper könnte noch leben at 17:55
Volker Weber on Pepper könnte noch leben at 16:57
Volker Weber on Pepper könnte noch leben at 16:49

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 01:19

visitors.gif

buy me coffee

Paypal vowe