Sicherheitshinweis

by Volker Weber

Stefan Krempl für heise online:

Haupert führte eine Demo für eine App der VR-Banken vor, auf einem Nexus 5X mit Android 7.0 und einem Sicherheitsupdate vom Ende 2016, bei dem einige Verwundbarkeiten noch nicht geflickt seien.

Es ist immer das gleiche Pattern: Altes Android-Handy mit alter Android-Software. Einfach Schlussfolgerung: Meide alte Android-Handys, oder einfacher, meide Android-Handys.

Ich gebe Sicherheitsforschern immer wieder mal mein aktuelles iPhone in die Hand und bitte sie, mir ihren Exploit zu demonstrieren. Das hat ohne Ausnahme noch niemals jemand geschafft. Dabei haben sie alle eins. Sie scheitern bereits an den "unsicheren" Zugangssperren wie TouchID oder FaceID.

Comments

Wenn ich den Vortrag richtig verstanden habe, wirbt der Anbieter damit, dass er ungeachtet eines gefährlichen Umfelds die eingepackte App sicher macht.
Dort wurde das Gegenteil gezeigt und noch dazu, dass, wenn man es einmal geschafft hat, das Vorgehen für alle mit dem Tool "gesicherten" Apps gleich ist.

Für die Demo wurde eine alte und in den meisten Fällen schon gefixte Sicherheitslücke verwendet. Gibt es keine Lücke, ist das wahrscheinlich nicht möglich. Aber es gibt diese Lücken nun mal - hin und wieder - und der Anbieter argumentierte damit, dass das für die Sicherheit seines Tool unerheblich sei. Was es nicht ist. Gäbe es keine Lücken, bräuchte es das Tool in der beworbenen Form aber wohl auch nicht.

Für den Normalanwender hat das keine Bedeutung. Aber die Banken haben dafür Geld ausgegeben - und letztlich haben die Bankkunden das bezahlt -, aber es taugt nicht.

Marc Patermann, 2017-12-28 14:03

Wenn man kein altes Android-Handy hat, hat das nie eine Bedeutung.

Volker Weber, 2017-12-28 14:36

Im Artikel heißt es aber auch:
"Bei Geräten mit Apples Mobilsystem iOS gebe es ähnliche Checks wie bei Android, sodass man Nomorp dafür ohne allzu große Mühen umschreiben könnte."

Trotzdem fühle ich mich, wie du, mit meinem iPhone deutlich sicherer als mit einem (schlecht gepatchtem Android-Gerät).

Stephan Grunwald, 2017-12-28 14:47

Ich möchte einfach sehen, wie jemand ohne allzu große Mühen auf meinem iPhone sowas macht. Hat bisher noch keiner.

Volker Weber, 2017-12-28 14:49

Gut. Gut. Security und Privacy sind wesentliche features der iOS Plattform. Solange Apple die Plattform geschlosse hält, ist es auch deren ureigenes Interesse in beiden Bereichen Stärke zu beweisen.

Nur was bringt das alles wenn der „Normalo“ die Abstrakte Gefahr eines Digitalen angeiffs nicht abschätzen kann und akzeptiert und wenn die persönliche Identität längst an Google, Facebook und Amazon verkauft wurden. Vermutlich hat Michael Seemann recht und die Gesellschaft hat diese Werte bereits abgeschrieben.

Daneben bleibt zu beachten, dass die iOS Plattform aucj für Hacker ein mehr als Attraktives Ziel ist. Zwar ist es schwieriger die Barrieren nieder zu reisen, hat man es aber mal geschafft steht potentiell die komplette Plattform mit zig Millionen Endgeräten ubd Zahlsystem offen. Da es keine absolute Sicherheit gibt, ist es wahrscheinlich, dass es früher oder später einen erfolgreichen Angriff geben wird. Auf der anderen Seite zeigt das auch den immensen Aufwand den Apple permanent betreibt um die Plattform sicher zu halten.

Dominique Roller, 2017-12-28 15:13

Volker, ein Sicherheitsforscher kann seinen Exploit nicht auf Deinem iPhone demonstrieren, weil er erst dann an die Öffentlichkeit/Presse gehen wird, wenn er dem Hersteller die Sicherheitslücke gemeldet und genügend Zeit gegeben hat diese zu beheben.

Solange sich Apple also nicht weigert, eine Lücke zu patchen, wirst Du also erst dann von einer Sicherheitslücke erfahren, wenn sie auf Deinem iPhone nicht mehr existiert.

Du müsstest Dich also an Hacker mit 0-Days wenden, nicht an Sicherheitsforscher.

Hilbert Trekel, 2017-12-28 15:13

Hilbert, Du übersiehst, wo ich wohne. :-)

Natürlich gibt es auch bei iOS Schwachstellen. Aber die sind dermaßen teuer, dass sie sich weder Sicherheitsforscher noch Ganoven leisten können.

Volker Weber, 2017-12-28 15:44

Es gibt für technisch versierte bei vielen alten Android Geräten noch die Möglichkeit ein LinageOS zu installieren. Das sieht für mich immer noch aus wie eine sichere Alternative zu iOS.

Hagen Bauer, 2017-12-28 19:28

Ich halte es für eine sicherere Alternative zu veralteten Android-Installationen.

Volker Weber, 2017-12-28 21:59

Nexus 5X wird immer noch mit aktuellen Sicherheitsupdates beliefert. Aktuell 8.1.0.

Nina Wittich , 2017-12-29 16:53

Schon klar. Es hat einen Grund, warum die Sicherheitsburschis ihre Fähigkeiten mit alter Software zeigen.

Volker Weber, 2017-12-29 18:07

Recent comments

Nina Wittich on Is your phone hurting your dating life? at 20:43
Ragnar Schierholz on Bohemian Rhapsody at 16:22
Ragnar Schierholz on Be My Eyes :: What a wonderful idea at 16:04
Armin Grewe on Is your phone hurting your dating life? at 16:01
Jason Hook on Apple HomePod vs Sonos Beam :: Ein unfairer Vergleich at 15:26
Chris Frei on Android Security Updates at 14:59
Volker Weber on Ein super-schönes E-Bike at 14:36
Andreas Braukmann on Ein super-schönes E-Bike at 14:24
Nina Wittich on Is your phone hurting your dating life? at 13:36
Horia Stanescu on Be My Eyes :: What a wonderful idea at 12:00
Alexander Wrede on Is your phone hurting your dating life? at 11:45
Hubert Stettner on Be My Eyes :: What a wonderful idea at 10:33
Ingo Seifert on Eine einfache Frage at 10:33
Johannes Matzke on Is your phone hurting your dating life? at 09:43
Christian Tillmanns on Is your phone hurting your dating life? at 08:05
Bodo Menke on Ein super-schönes E-Bike at 05:52
Stephan Perthes on Is your phone hurting your dating life? at 23:23
Lucius Bobikiewicz on Is your phone hurting your dating life? at 23:12
Volker Weber on Ein super-schönes E-Bike at 22:21
Volker Weber on Is your phone hurting your dating life? at 22:09
Axel Seifried on Is your phone hurting your dating life? at 21:01
Armin Grewe on Is your phone hurting your dating life? at 20:54
Craig Wiseman on Is your phone hurting your dating life? at 19:47
Christoph-Alexander Dettmann on Eine einfache Frage at 16:36
Dirk Rose on Ein super-schönes E-Bike at 16:02

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter amazon

Local time is 23:52

visitors.gif

buy me coffee