Sicherheitshinweis
by Volker Weber
Stefan Krempl für heise online:
Haupert führte eine Demo für eine App der VR-Banken vor, auf einem Nexus 5X mit Android 7.0 und einem Sicherheitsupdate vom Ende 2016, bei dem einige Verwundbarkeiten noch nicht geflickt seien.
Es ist immer das gleiche Pattern: Altes Android-Handy mit alter Android-Software. Einfach Schlussfolgerung: Meide alte Android-Handys, oder einfacher, meide Android-Handys.
Ich gebe Sicherheitsforschern immer wieder mal mein aktuelles iPhone in die Hand und bitte sie, mir ihren Exploit zu demonstrieren. Das hat ohne Ausnahme noch niemals jemand geschafft. Dabei haben sie alle eins. Sie scheitern bereits an den "unsicheren" Zugangssperren wie TouchID oder FaceID.
Comments
Wenn ich den Vortrag richtig verstanden habe, wirbt der Anbieter damit, dass er ungeachtet eines gefährlichen Umfelds die eingepackte App sicher macht.
Dort wurde das Gegenteil gezeigt und noch dazu, dass, wenn man es einmal geschafft hat, das Vorgehen für alle mit dem Tool "gesicherten" Apps gleich ist.
Für die Demo wurde eine alte und in den meisten Fällen schon gefixte Sicherheitslücke verwendet. Gibt es keine Lücke, ist das wahrscheinlich nicht möglich. Aber es gibt diese Lücken nun mal - hin und wieder - und der Anbieter argumentierte damit, dass das für die Sicherheit seines Tool unerheblich sei. Was es nicht ist. Gäbe es keine Lücken, bräuchte es das Tool in der beworbenen Form aber wohl auch nicht.
Für den Normalanwender hat das keine Bedeutung. Aber die Banken haben dafür Geld ausgegeben - und letztlich haben die Bankkunden das bezahlt -, aber es taugt nicht.
Wenn man kein altes Android-Handy hat, hat das nie eine Bedeutung.
Im Artikel heißt es aber auch:
"Bei Geräten mit Apples Mobilsystem iOS gebe es ähnliche Checks wie bei Android, sodass man Nomorp dafür ohne allzu große Mühen umschreiben könnte."
Trotzdem fühle ich mich, wie du, mit meinem iPhone deutlich sicherer als mit einem (schlecht gepatchtem Android-Gerät).
Ich möchte einfach sehen, wie jemand ohne allzu große Mühen auf meinem iPhone sowas macht. Hat bisher noch keiner.
Gut. Gut. Security und Privacy sind wesentliche features der iOS Plattform. Solange Apple die Plattform geschlosse hält, ist es auch deren ureigenes Interesse in beiden Bereichen Stärke zu beweisen.
Nur was bringt das alles wenn der „Normalo“ die Abstrakte Gefahr eines Digitalen angeiffs nicht abschätzen kann und akzeptiert und wenn die persönliche Identität längst an Google, Facebook und Amazon verkauft wurden. Vermutlich hat Michael Seemann recht und die Gesellschaft hat diese Werte bereits abgeschrieben.
Daneben bleibt zu beachten, dass die iOS Plattform aucj für Hacker ein mehr als Attraktives Ziel ist. Zwar ist es schwieriger die Barrieren nieder zu reisen, hat man es aber mal geschafft steht potentiell die komplette Plattform mit zig Millionen Endgeräten ubd Zahlsystem offen. Da es keine absolute Sicherheit gibt, ist es wahrscheinlich, dass es früher oder später einen erfolgreichen Angriff geben wird. Auf der anderen Seite zeigt das auch den immensen Aufwand den Apple permanent betreibt um die Plattform sicher zu halten.
Volker, ein Sicherheitsforscher kann seinen Exploit nicht auf Deinem iPhone demonstrieren, weil er erst dann an die Öffentlichkeit/Presse gehen wird, wenn er dem Hersteller die Sicherheitslücke gemeldet und genügend Zeit gegeben hat diese zu beheben.
Solange sich Apple also nicht weigert, eine Lücke zu patchen, wirst Du also erst dann von einer Sicherheitslücke erfahren, wenn sie auf Deinem iPhone nicht mehr existiert.
Du müsstest Dich also an Hacker mit 0-Days wenden, nicht an Sicherheitsforscher.
Hilbert, Du übersiehst, wo ich wohne. :-)
Natürlich gibt es auch bei iOS Schwachstellen. Aber die sind dermaßen teuer, dass sie sich weder Sicherheitsforscher noch Ganoven leisten können.
Es gibt für technisch versierte bei vielen alten Android Geräten noch die Möglichkeit ein LinageOS zu installieren. Das sieht für mich immer noch aus wie eine sichere Alternative zu iOS.
Ich halte es für eine sicherere Alternative zu veralteten Android-Installationen.
Nexus 5X wird immer noch mit aktuellen Sicherheitsupdates beliefert. Aktuell 8.1.0.
Schon klar. Es hat einen Grund, warum die Sicherheitsburschis ihre Fähigkeiten mit alter Software zeigen.
