Neu entdecktes Spionageprogramm einer israelischen Firma installiert sich per SMS:

Die Spionage-Software hat insbesondere Zugang zu GPS-Positionsdaten, kann Telefongespräche mitschneiden, Mails lesen oder auch schreiben, bietet Zugriff auf WhatsApp, iMessages, Kontaktdaten und vieles mehr. Sie ist damit wohl die am weitesten entwickelte iOS-Spyware, die bisher in freier Wildbahn gesichtet wurde. Sie erlaubt die vollständige Überwachung der damit infizierten Geräte beziehungsweise letztlich deren Eigentümer.
http://www.heise.de/security/artikel/Die-iOS-Spyware-Pegasus-eine-Bestandsaufnahme-3305...

Apple bietet seit gestern Abend einen fix an. Ab iOS 9.3.5 soll man wieder sicher sein.

--
Ein ueberragender Teil der Oekonomen, Politiker, Banker, Analysten und Journalisten ist einfach unfaehig, Bitcoin richtig zu verstehen, weil es so revolutionaer ist.
Info:
www.tinyurl.com/y97d87xk
www.tinyurl.com/yykr2zv2

- kein Text -

--
BillHicks

..realized that all matter is merely energy condensed to a slow vibration – that we are all one consciousness experiencing itself subjectively. There's no such thing as death, life is only a dream, and we're the imagination of ourselves.

Oder wird es nie aufhören, weil ein Smartphone wie jeder andere Rechner ein prinzipiell unsicheres Gerät ist?

Könnte man es nicht wenigstens erreichen, dass ein Smartphone nicht remote infiziert werden kann, also per App-Download, SMS, Browser-Aufruf etc.? (natürlich geht es nur um Smartphones, die nicht vom Benutzer gerootet wurden).

Beim PC hat man es ja nie geschafft, ihn gegen Trojanerinfizierungen abzuschotten. Hat man auf dem Smartphone nicht mehr Möglichkeiten? Sind iOS und Android nicht besser dazu geeignet als Windows? Ist nicht der root-Zustand das Haupt-Einfallstor beim PC? - und beim Smartphone gibt es den ja nicht.

Bernd Borchert

Ist nicht der
root-Zustand das Haupt-Einfallstor beim PC? - und beim Smartphone gibt es
den ja nicht.

"root" gibt es beim Smartphone schon, andernfalls koennte man nie System-Updates installieren. Der User hat lediglich keine Erlaubnis "root" zu werden, Trojaner schon, wenn sie wissen wie Sicherheitsluecken auszunutzen sind.

--
Ein ueberragender Teil der Oekonomen, Politiker, Banker, Analysten und Journalisten ist einfach unfaehig, Bitcoin richtig zu verstehen, weil es so revolutionaer ist.
Info:
www.tinyurl.com/y97d87xk
www.tinyurl.com/yykr2zv2

Also ist es es nur eine Frage der Zeit, bis der nächste iPhone Trojaner kommt?

Und wenn der gepatched ist, der nächste?

Eine unendliches Ping-Pong Spiel von Zeroday and Patch?

Oder hat es irgendwann ein Ende und das iPhone ist sicher gegen Trojaner-Infizierungen, zumindest gegen Trojaner mit remoten Infizierungswegen?

Bernd Borchert

Preise für zeroday exploits (= dem Hersteller bislang unbekannte Lücken seines Systems): iOS 500.000, Android 100.000, Windows 30.000

https://www.zerodium.com/program.html

Hallo BerndBorchert,

es fängt schon damit an, dass wenn man 5 unterschiedliche Personen fragt, die im Bereich der Computersicherheit ihr Geld verdienen, man 6 Unterschiedliche Definitionen bekommen kann.
Ich hatte 2013 mal die Gelegenheit Teil einer solchen Runde zu sein. Am Mittagstisch ein CISO eines sehr bekannten Chip Herstellers in der Nähe von Los Angeles, sein oberster Security-Vorturner, ein Cisco Security Architekt und ein Herr der Malware Research bei Palo Alto Networks in der Unit 42 macht.

5 Leute, mit jeweils mehr als 15 Jahren IT Sicherheit auf dem Buckel. Glaub mal nicht, dass wir eine eindeutige Definition von "Sicher" hatten.
Das Beste worauf wir uns einigen konnten, war die Definition von Dan Geer:"Security is the absence of unmitigatable surprise".
Mit anderen Worten eine Software ist gut, wenn sie das, was sie machen soll, auch tut.
Eine Software ist sicher, wenn sie das, was sie machen soll, auch tut UND sonst nichts anderes.

Ich denke, und kann nichts dergleichen belegen, dass wir in dieser Spirale gefangen sind.
Der Markt verlangt nach dem neusten Elektronikspielzeug, weil wir uns ja alle auf Minutenbasis neu erfinden müssen und das klappt eben am Besten mit dem neusten Android,iPhone...Blackberry?
Zum einen wollen die Kunden Freiheiten haben, diese Rufe sind in der Android Welt sehr laut, zum anderen wollen sie auch Sicherheit haben, was je nach Umfang der Freiheit sehr schwer zu realisieren ist.

Wie du ja schon an der Preisliste der widerlichen Arschgeigen von Zerodium siehst, ist iOS Exploitation verdammt gut bezahlt, eben weil es hart ist. Apple hat mit dem Sicherheitsmodell etwas Brauchbares geliefert. Android nebenbei bemerkt auch, nur hat man da die Linux Langbärte am Start, die nach Freiheit und root schreien und eine komplett fragmentierte Gerätebasis.

Die Verwendung von anderen Programmiersprachen, wie allem was aus der Ecke "Funktionale Programmierung" kommt, kann sehr viele Problemklassen direkt erschlagen, z.B. alle Sicherheitsprobleme die daraus entstehen, dass wir den Zustand eines Programmes managen müssen. Nur werden iPhones eben in ObjektiveC und Swift und nicht in Haskell programmiert.

Da die Unternehmen zur "Innovation" verdammt sind, kommen mit jedem neuen Softwarerelease neue Features und neue APIs und damit implizit mehr Code und damit im statistischen Mittel mehr Sicherheitsprobleme. Dazu gibt es genug Studien.
Wohin das geht... keine Ahnung, aber mein iPhone ist zumindest aktualisiert. :)

VG,
QFT

Wenn ich Dich richtig verstanden habe, denkst Du auch, dass ein Smartphone *nie* gegen Infiltrierungen sicher sein wird. Wie bei einer Hydra entsteht beim Patch einer Sicherheits-Lücke gleich die nächste Lücke mit ...

Bei der Deutschen Bank oder bei der Sparkasse (Photo-TAN/App-Version bzw. Push-TAN) wird der geheime Schlüssel für die Erzeugung der TAN im Speicher des Smartphones abgelegt. Ein Trojaner auf dem Smartphone würde zuerst das Online Passwort abhören, wenn es vom Kunden eingegeben wird, und dann den geheimen Schlüssel kopieren. Damit kann er selber eine beliebige Betrugsüberweisung ausführen: https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlin...

Bei Unternehmensanwendungen ist es unter Umständen noch kritischer, ein Credential in der Firmen-App zu speichern.

Das Vertrauen in die Smartphones ist groß. Das hat was Psychologisches - manche Entscheider kommen gar nicht auf die Idee, dass Smartphones infiltriert sein könnten. Meistens sind es BWLer, nicht IT-ler, die solche kritischen Apps pushen, denn sie denken, dass die Kunden/Mitarbeiter es so haben wollen (obwohl bei Umfragen Bankkunden Sicherheit als wichtigstes Kriterium für Zahlungsverfahren nennen). Sie sagen sich: Wir gucken mal, und solange keine großen Schadensfälle passieren, machen wir so weiter.

Bernd Borchert

Was natürlich Unsinn ist - quasi der diametrale Unsinn zur Annahme, dass Trojaner nicht remote auf ungerootete Smartphones gelangen können, auf iPhones schon gar nicht.

Die Realität liegt zwischen diesen Extremen.

Bernd Borchert

...und zwar hinter dem, was wir für maximal unschön halten.
Die Vergangenheit hat mich nie enttäuscht mir zu zeigen, dass mein Aluhut angebracht war und mein Job bestätigt mir auf Tagesbasis, dass ich mir den Albhut noch mit Blei abschirmen lassen sollte.

Ich erinnere mich noch an 2013...

https://media.blackhat.com/us-13/us-13-Nohl-Rooting-SIM-cards-Slides.pdf

Es war ein herrlicher Vortrag gewesen.

Hier Forbes dazu: http://www.forbes.com/sites/parmyolson/2013/07/21/sim-cards-have-finally-been-hacked-an...

...mit den Millions of phones, waren ca. 500 Millionen gemeint.

Wir reden hier von Schadsoftware auf einer SIM mit kompletten Durchgriff auf die Funktionen des Phones.

Ich für meinen Teil denke, dass es weitaus schlimmer ist, als ich es mir vorstelle und ich kann mir verdammt viel komisches Zeug im Bereich Computersicherheit vorstellen.

Was macht dich so sicher, dass die Realität zwischen den beiden Extremen liegt? Die Empirie spricht bisher dagegen...

VG,
QFT

Da gehört schon einiges dazu, vor allem remote, d.h., wenn man das Smartphone nicht physisch vorliegen hat. Es ist ja nicht damit getan, eine App zu schreiben, die im Hintergrund mehr macht als sie angibt. Denn um zum Beispiel einen Online Banking Betrug auszuführen, muss die App ja an den geheimen Schlüssel der Bank-App herankommen, und der ist ja durch das sog. Sandbox Prinzip geschützt: eine App kann der anderen nicht in deren Daten gucken.

Der Angreifer muss als versuchen, in das Betriebssystem (OS, z.B. iOS) hineinzukommen. Und das ist nicht einfach, man braucht da Informationen über bestehende, dem Hersteller unbekannte Lücken, über die die Angreifer-App, wenn sie vom Benutzer downgeloaded wird, heimlich in das OS hieneinkommt und es dort "von innen" infiltriert. Solche Lücken gibt es, siehe der link im thread-Titel.
Aber es ist aufwendig, die zu finden, oder teuer (iOS 1/2 Mill. USD)

Wenn die Smartphone OS's nicht nach dem Princeton Prinzip (Programmdateien sind Teil der Daten), sondern nach dem Harvard-Prinzip aufgebaut wären (Programme, insbesondere die des OS selber, sind getrennt von den Daten), dann könnte ich mir vorstellen, dass man das Smartphone "sicher" machen könnte. Aber so wie die OS' (iOS, Android) sind (und bleiben), wahrscheinlich niemals: mit einer gepatchten Lücke taucht die nächste auf.

Bernd Borchert