Sicherheitshinweis

by Volker Weber

Stefan Krempl für heise online:

Haupert führte eine Demo für eine App der VR-Banken vor, auf einem Nexus 5X mit Android 7.0 und einem Sicherheitsupdate vom Ende 2016, bei dem einige Verwundbarkeiten noch nicht geflickt seien.

Es ist immer das gleiche Pattern: Altes Android-Handy mit alter Android-Software. Einfach Schlussfolgerung: Meide alte Android-Handys, oder einfacher, meide Android-Handys.

Ich gebe Sicherheitsforschern immer wieder mal mein aktuelles iPhone in die Hand und bitte sie, mir ihren Exploit zu demonstrieren. Das hat ohne Ausnahme noch niemals jemand geschafft. Dabei haben sie alle eins. Sie scheitern bereits an den "unsicheren" Zugangssperren wie TouchID oder FaceID.

Comments

Wenn ich den Vortrag richtig verstanden habe, wirbt der Anbieter damit, dass er ungeachtet eines gefährlichen Umfelds die eingepackte App sicher macht.
Dort wurde das Gegenteil gezeigt und noch dazu, dass, wenn man es einmal geschafft hat, das Vorgehen für alle mit dem Tool "gesicherten" Apps gleich ist.

Für die Demo wurde eine alte und in den meisten Fällen schon gefixte Sicherheitslücke verwendet. Gibt es keine Lücke, ist das wahrscheinlich nicht möglich. Aber es gibt diese Lücken nun mal - hin und wieder - und der Anbieter argumentierte damit, dass das für die Sicherheit seines Tool unerheblich sei. Was es nicht ist. Gäbe es keine Lücken, bräuchte es das Tool in der beworbenen Form aber wohl auch nicht.

Für den Normalanwender hat das keine Bedeutung. Aber die Banken haben dafür Geld ausgegeben - und letztlich haben die Bankkunden das bezahlt -, aber es taugt nicht.

Marc Patermann, 2017-12-28 14:03

Wenn man kein altes Android-Handy hat, hat das nie eine Bedeutung.

Volker Weber, 2017-12-28 14:36

Im Artikel heißt es aber auch:
"Bei Geräten mit Apples Mobilsystem iOS gebe es ähnliche Checks wie bei Android, sodass man Nomorp dafür ohne allzu große Mühen umschreiben könnte."

Trotzdem fühle ich mich, wie du, mit meinem iPhone deutlich sicherer als mit einem (schlecht gepatchtem Android-Gerät).

Stephan Grunwald, 2017-12-28 14:47

Ich möchte einfach sehen, wie jemand ohne allzu große Mühen auf meinem iPhone sowas macht. Hat bisher noch keiner.

Volker Weber, 2017-12-28 14:49

Gut. Gut. Security und Privacy sind wesentliche features der iOS Plattform. Solange Apple die Plattform geschlosse hält, ist es auch deren ureigenes Interesse in beiden Bereichen Stärke zu beweisen.

Nur was bringt das alles wenn der „Normalo“ die Abstrakte Gefahr eines Digitalen angeiffs nicht abschätzen kann und akzeptiert und wenn die persönliche Identität längst an Google, Facebook und Amazon verkauft wurden. Vermutlich hat Michael Seemann recht und die Gesellschaft hat diese Werte bereits abgeschrieben.

Daneben bleibt zu beachten, dass die iOS Plattform aucj für Hacker ein mehr als Attraktives Ziel ist. Zwar ist es schwieriger die Barrieren nieder zu reisen, hat man es aber mal geschafft steht potentiell die komplette Plattform mit zig Millionen Endgeräten ubd Zahlsystem offen. Da es keine absolute Sicherheit gibt, ist es wahrscheinlich, dass es früher oder später einen erfolgreichen Angriff geben wird. Auf der anderen Seite zeigt das auch den immensen Aufwand den Apple permanent betreibt um die Plattform sicher zu halten.

Dominique Roller, 2017-12-28 15:13

Volker, ein Sicherheitsforscher kann seinen Exploit nicht auf Deinem iPhone demonstrieren, weil er erst dann an die Öffentlichkeit/Presse gehen wird, wenn er dem Hersteller die Sicherheitslücke gemeldet und genügend Zeit gegeben hat diese zu beheben.

Solange sich Apple also nicht weigert, eine Lücke zu patchen, wirst Du also erst dann von einer Sicherheitslücke erfahren, wenn sie auf Deinem iPhone nicht mehr existiert.

Du müsstest Dich also an Hacker mit 0-Days wenden, nicht an Sicherheitsforscher.

Hilbert Trekel, 2017-12-28 15:13

Hilbert, Du übersiehst, wo ich wohne. :-)

Natürlich gibt es auch bei iOS Schwachstellen. Aber die sind dermaßen teuer, dass sie sich weder Sicherheitsforscher noch Ganoven leisten können.

Volker Weber, 2017-12-28 15:44

Es gibt für technisch versierte bei vielen alten Android Geräten noch die Möglichkeit ein LinageOS zu installieren. Das sieht für mich immer noch aus wie eine sichere Alternative zu iOS.

Hagen Bauer, 2017-12-28 19:28

Ich halte es für eine sicherere Alternative zu veralteten Android-Installationen.

Volker Weber, 2017-12-28 21:59

Nexus 5X wird immer noch mit aktuellen Sicherheitsupdates beliefert. Aktuell 8.1.0.

Nina Wittich , 2017-12-29 16:53

Schon klar. Es hat einen Grund, warum die Sicherheitsburschis ihre Fähigkeiten mit alter Software zeigen.

Volker Weber, 2017-12-29 18:07

Post a comment

Store next two fields in a cookie for you?




Use your full name and a working email address. Unless you want your comment to be removed. No kidding.

Recent comments

Volker Weber on I miss these people at 21:56
Alan Lepofsky on I miss these people at 21:55
Volker Weber on I miss these people at 21:35
Susan Bulloch on I miss these people at 21:34
Thomas Duff on I miss these people at 20:44
Chris Coates on I miss these people at 20:37
Bill Buchan on I miss these people at 20:35
Paul Mooney on I miss these people at 20:26
sean cull on I miss these people at 13:09
Erik Ferrari on I miss these people at 10:50
Andrew Pollack on I miss these people at 03:40
Stephan H. Wissel on I miss these people at 01:46
Volker Weber on I miss these people at 21:31
Darren Duke on I miss these people at 17:43
Volker Weber on Stupid is who stupid does at 16:15
Chris Lindley on Stupid is who stupid does at 16:06
Jürgen Sting on Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach at 11:33
Jérôme RAUCH on Impulse buy of the day at 02:48
Armin Grewe on Stupid is who stupid does at 00:51
Ingo Seifert on Impulse buy of the day at 00:38
Volker Weber on Stupid is who stupid does at 22:43
Craig Wiseman on Stupid is who stupid does at 20:01
Volker Weber on Stupid is who stupid does at 17:01
Kai Schmalenbach on Stupid is who stupid does at 16:49
Volker Weber on Beating IBM is a walk in the park at 15:19

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter

Local time is 23:45

visitors.gif