Charlie Miller entdeckt schwere Sicherheitslücke in iOS und wird aus dem App Store ausgeschlossen

Apple-iOS-5-logo Charlie Miller entdeckt schwere Sicherheitslücke in iOS und wird aus dem App Store ausgeschlossen Apple iOS

Der Mac hatte immer den Ruf, sicherer als ein Windows-PC zu sein, weil es für Mac OS X bedeutend weniger schädliche Software als für Windows gibt.  Dennoch existiert so etwas wie die vollkommene Sicherheit nicht, denn es gibt Menschen wie Charlie Miller, die einen Mac in nur wenigen Sekunden hacken können. Durch Miller  profitieren die User von den aufgedeckten Sicherheitslücken, da er sein Wissen an die verantwortlichen Stellen weitergibt – etwa an Apple. Apple kann diese Erkenntnisse zur Verbesserung ihres Systems verwenden. Es bleibt aber die Frage, ob der Zweck die Mittel heiligt und wie weit Miller gehen darf, um Sicherheitsprobleme aufzudecken.

Im konkreten Fall geht es nicht um eine Sicherheitslücke bei Mac OS X sondern beim mobilen iOS. Miller hat dort einen gravierenden Fehler entdeckt, der es erlaubt, eine App mit Schadcode in den App-Store einzubringen. Die relevante Sicherheitslücke wird beim Reviewprozess seitens Apple nicht entdeckt. Ist die App installiert, kann sie mit einem entfernten Computer Kontakt aufnehmen und öffnet dem Missbrauch des iPhones oder iPads alle Türen: E-Mails und SMS können gelesen, das iPhone zum Vibrieren gebracht werden und vieles mehr.

Besorgniserregend, da immer häufiger sensible, persönliche Daten auf den mobilen Begleitern zu finden sind. Aber wie funktioniert es? Um die Geschwindigkeit des Safari-Browsers zu erhöhen erlaubt Apple, dass Javascript-Code aus dem Internet viel tiefer im Systemspeicher agieren kann als bisher. So wird es auch möglich, dass eigentlich nicht zugelassener Code freie Bahn hat. Miller hat die Sicherheitslücke auf Apps ausgeweitet.

“Now you could have a program in the App Store like Angry Birds that can run new code on your phone that Apple never had a chance to check,” sagt Miller. “With this bug, you can’t be assured of anything you download from the App Store behaving nicely.”

Dank Miller wissen wir nun, dass iOS eine schwerwiegende Sicherheitslücke hat und dass auch der Reviewprozess von Apple in diesem Fall nutzlos ist. Das kann man ihm zugute halten, aber problematisch ist sein Vorgehen. Er hat sich mit dem Sicherheitsproblem nicht etwa an Apple gewandt, sondern hat eine App namens Instastock in den App Store eingereicht, die eben diese Sicherheitslücke ausnutzt und mit einem Rechner von Miller nach der Installation Kontakt aufnimmt. Der Grund für diese Aktion ist eine öffentliche Aufdeckung des Bugs auf der SysCan Konferenz in Taiwan in der kommenden Woche.

Die Rechnung hat er dabei ohne Apple gemacht, die Charlie Miller nun ohne weiteren Kommentar aus dem App Store und dem iOS Developer Programm ausgeschlossen haben. Die Frage, was in diesem Zusammenhang falsch und was richtig ist, wird wohl jeder für sich selbst entscheiden müssen. Beide Seiten mögen Fehler gemacht haben, aber man sollte aus dieser Sache lernen und zusammenarbeiten.

– via cultofmac 1 / 2

Veröffentlicht von

Jahrgang 1986. Blogger & Journalist. Politologe & Anglist. Technik & Kaffee.

0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
5 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments

[…] eine oder andere Feature, das früher nicht bekannt war. Manchmal handelt es sich dabei um eine Sicherheitslücke, die es erlaubt, via Javascript Schadcode aufs iPhone zu laden, in anderen Fällen sind es Features, wie zum Beispiel der jüngst entdeckte versteckte […]

[…] the App Store, Android will remain the target of mobile malware writers around the world.”Wie war das mit der Malware im App Store?- via appleinsider.com – sr_adspace_id = 1000004180707; sr_adspace_width = 300; sr_adspace_height = […]

[…] damit brüstet, ein geschlossenes und damit sicheres System zu haben, obwohl diese Sicherheit natürlich nie 100%ig sein kann. Aber wie sieht aus Sicht von Apple den gemeinen Android-User?Android-User sind Hacker, […]

[…] die nächste unberuhigende Meldung am Horizont auszumachen. Nachdem erst vor ein paar Wochen in Apples iOS eine schwere Sicherheitslücke entdeckt wurde, ist nun Google Android an der Reihe. Forscher an einer amerikanischen Universität haben […]

[…] Android sei. Das ist mit Sicherheit auch richtig. Die Vergangenheit hat aber gezeigt, dass auch iOS schwere Sicherheitslücken aufweisen kann. google_ad_client = "ca-pub-5187031595458213"; /* Stereopoly (468×60): Intext */ […]

5
0
Would love your thoughts, please comment.x
()
x