Sicherheitshinweis

by Volker Weber

Stefan Krempl für heise online:

Haupert führte eine Demo für eine App der VR-Banken vor, auf einem Nexus 5X mit Android 7.0 und einem Sicherheitsupdate vom Ende 2016, bei dem einige Verwundbarkeiten noch nicht geflickt seien.

Es ist immer das gleiche Pattern: Altes Android-Handy mit alter Android-Software. Einfach Schlussfolgerung: Meide alte Android-Handys, oder einfacher, meide Android-Handys.

Ich gebe Sicherheitsforschern immer wieder mal mein aktuelles iPhone in die Hand und bitte sie, mir ihren Exploit zu demonstrieren. Das hat ohne Ausnahme noch niemals jemand geschafft. Dabei haben sie alle eins. Sie scheitern bereits an den "unsicheren" Zugangssperren wie TouchID oder FaceID.

Comments

Wenn ich den Vortrag richtig verstanden habe, wirbt der Anbieter damit, dass er ungeachtet eines gefährlichen Umfelds die eingepackte App sicher macht.
Dort wurde das Gegenteil gezeigt und noch dazu, dass, wenn man es einmal geschafft hat, das Vorgehen für alle mit dem Tool "gesicherten" Apps gleich ist.

Für die Demo wurde eine alte und in den meisten Fällen schon gefixte Sicherheitslücke verwendet. Gibt es keine Lücke, ist das wahrscheinlich nicht möglich. Aber es gibt diese Lücken nun mal - hin und wieder - und der Anbieter argumentierte damit, dass das für die Sicherheit seines Tool unerheblich sei. Was es nicht ist. Gäbe es keine Lücken, bräuchte es das Tool in der beworbenen Form aber wohl auch nicht.

Für den Normalanwender hat das keine Bedeutung. Aber die Banken haben dafür Geld ausgegeben - und letztlich haben die Bankkunden das bezahlt -, aber es taugt nicht.

Marc Patermann, 2017-12-28

Wenn man kein altes Android-Handy hat, hat das nie eine Bedeutung.

Volker Weber, 2017-12-28

Im Artikel heißt es aber auch:
"Bei Geräten mit Apples Mobilsystem iOS gebe es ähnliche Checks wie bei Android, sodass man Nomorp dafür ohne allzu große Mühen umschreiben könnte."

Trotzdem fühle ich mich, wie du, mit meinem iPhone deutlich sicherer als mit einem (schlecht gepatchtem Android-Gerät).

Stephan Grunwald, 2017-12-28

Ich möchte einfach sehen, wie jemand ohne allzu große Mühen auf meinem iPhone sowas macht. Hat bisher noch keiner.

Volker Weber, 2017-12-28

Gut. Gut. Security und Privacy sind wesentliche features der iOS Plattform. Solange Apple die Plattform geschlosse hält, ist es auch deren ureigenes Interesse in beiden Bereichen Stärke zu beweisen.

Nur was bringt das alles wenn der „Normalo“ die Abstrakte Gefahr eines Digitalen angeiffs nicht abschätzen kann und akzeptiert und wenn die persönliche Identität längst an Google, Facebook und Amazon verkauft wurden. Vermutlich hat Michael Seemann recht und die Gesellschaft hat diese Werte bereits abgeschrieben.

Daneben bleibt zu beachten, dass die iOS Plattform aucj für Hacker ein mehr als Attraktives Ziel ist. Zwar ist es schwieriger die Barrieren nieder zu reisen, hat man es aber mal geschafft steht potentiell die komplette Plattform mit zig Millionen Endgeräten ubd Zahlsystem offen. Da es keine absolute Sicherheit gibt, ist es wahrscheinlich, dass es früher oder später einen erfolgreichen Angriff geben wird. Auf der anderen Seite zeigt das auch den immensen Aufwand den Apple permanent betreibt um die Plattform sicher zu halten.

Dominique Roller, 2017-12-28

Volker, ein Sicherheitsforscher kann seinen Exploit nicht auf Deinem iPhone demonstrieren, weil er erst dann an die Öffentlichkeit/Presse gehen wird, wenn er dem Hersteller die Sicherheitslücke gemeldet und genügend Zeit gegeben hat diese zu beheben.

Solange sich Apple also nicht weigert, eine Lücke zu patchen, wirst Du also erst dann von einer Sicherheitslücke erfahren, wenn sie auf Deinem iPhone nicht mehr existiert.

Du müsstest Dich also an Hacker mit 0-Days wenden, nicht an Sicherheitsforscher.

Hilbert Trekel, 2017-12-28

Hilbert, Du übersiehst, wo ich wohne. :-)

Natürlich gibt es auch bei iOS Schwachstellen. Aber die sind dermaßen teuer, dass sie sich weder Sicherheitsforscher noch Ganoven leisten können.

Volker Weber, 2017-12-28

Es gibt für technisch versierte bei vielen alten Android Geräten noch die Möglichkeit ein LinageOS zu installieren. Das sieht für mich immer noch aus wie eine sichere Alternative zu iOS.

Hagen Bauer, 2017-12-28

Ich halte es für eine sicherere Alternative zu veralteten Android-Installationen.

Volker Weber, 2017-12-28

Nexus 5X wird immer noch mit aktuellen Sicherheitsupdates beliefert. Aktuell 8.1.0.

Nina Wittich , 2017-12-29

Schon klar. Es hat einen Grund, warum die Sicherheitsburschis ihre Fähigkeiten mit alter Software zeigen.

Volker Weber, 2017-12-29

Recent comments

Volker Weber on Apple Watch :: Welche für wen? at 16:26
Volker Weber on Link Bracelet für Apple Watch at 16:06
Sven Richert on Link Bracelet für Apple Watch at 15:59
Pierre Lalonde on HCL is steaming ahead at 15:41
Matthias Welling on Apple Watch Activity Competition #dontbreakthechain at 14:28
Christoph Spitz on Apple Watch Activity Competition #dontbreakthechain at 12:41
Ralf ter Veer on I don't understand the Google Pixel at 12:01
Stephan Perthes on Apple Watch Activity Competition #dontbreakthechain at 11:36
Daniel Meyer on Link Bracelet für Apple Watch at 10:37
Ralph Inselsbacher on Apple Watch Activity Competition #dontbreakthechain at 10:13
Jens-Christian Fischer on Apple Watch Activity Competition #dontbreakthechain at 09:03
Volker Weber on Apple Watch Activity Competition #dontbreakthechain at 08:49
Bernd Ries on Apple Watch Activity Competition #dontbreakthechain at 07:55
Bernd Hofmann on Apple Watch Activity Competition #dontbreakthechain at 00:18
Sven Bühler on Apple Watch Activity Competition #dontbreakthechain at 19:40
Dirk Bartkowiak on Apple Watch Activity Competition #dontbreakthechain at 16:11
Anton Seissl on Apple Watch Activity Competition #dontbreakthechain at 15:25
Volker Weber on Apple Watch Activity Competition #dontbreakthechain at 11:19
Andreas Braukmann on Apple Watch Activity Competition #dontbreakthechain at 09:32
felix schwenzel on Apple Watch Activity Competition #dontbreakthechain at 08:43
Jens-Christian Fischer on Apple Watch Activity Competition #dontbreakthechain at 08:05
felix schwenzel on Apple Watch Activity Competition #dontbreakthechain at 07:49
Oliver Stör on Apple Watch Activity Competition #dontbreakthechain at 07:44
Axel Koerv on Apple Watch :: Welche für wen? at 01:39
Marc Henkel on Apple Watch Activity Competition #dontbreakthechain at 00:35

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 16:32

visitors.gif

buy me coffee