iOS Sicherheit im April

Unverschlüsselte Anhänge und Adressbuchzugriffe

Eine interessante Entdeckung machte der Sicherheitsforscher Andreas Kurtz. Ihm fiel auf, dass E-Mail Anhänge - entgegen den Behauptungen von Apple - nicht mit der Data Protection Funktion verschlüsselt sind. Betroffen sind neben Dateianhängen von POP- oder IMAP-Konten auch ActiveSync-Konten. iOS 6 verweigerte noch den Zugriff auf die Anhänge, wenn es zuvor nicht mit dem Passcode entsperrt wurde.

In einem ausführlichen Blog Post beschreibt Andreas Kurtz die technische Umsetzung seiner Tests. Apple scheint sich des Problems bewusst zu sein, nennt aber noch keine Termine. iOS 7.1.1 behebt das Problem noch nicht.

Ein weiteres Problem in iOS 7.1.1 ist, dass es trotz Codesperre möglich ist auf das komplette Adressbuch zuzugreifen. Einzige ein deaktivieren von Siri im Sperrbildschrim bringt derweil Schutz vor diesem Angriff.

iOS Malware - Unfold Baby Panda

Ebenfalls erwähnenswert ist ein Angriff auf iOS-Geräte mit einem Jailbreak. Bei Reddit wurde Mitte April die Malware identifiziert, die darauf abzielt Apple-IDs und die zugehörigen Passwörter abzugreifen. Stefan Esser legt in seinem Blog weitere technische Details dar.

iOS 7.1.1

Schließlich wurde im April noch die iOS Version 7.1.1 veröffentlicht. Ein zeitnahes installieren des Updates wird dringend empfohlen, schließt es doch auch wieder diverse Sicherheitslücken zum Beispiel in WebKit.

Mobile Threat Report

Dem geneigten Leser sei hier auch noch der von F-Secure veröffentlichte Mobile Threat Report empfohlen. Hier wird wieder deutlich, dass iOS für Angreifer derzeit einfach zu uninteressant ist, bietet Android doch einfachere Möglichkeiten Malware zu verbreiten.

Knox2

Samsung hat auf dem Mobile World Congress 2014 eine neue Version der Security-Suite Knox angekündigt. Für Galaxy S5 Modelle wird dies im Rahmen eines Updates bereits ausgeliefert. Knox hat zum Ziel mithilfe eines Containers geschäftliche Applikationen und Daten von privaten zu trennen. In der Vergangenheit waren durchaus Angriffe auf den Container möglich.

On our fear and apathy towards smartphone attacks

Auf der Re:publica 2014 haben die Sicherheitsexperten Linus Neumann und Ben Schlabs in ihrem sehr sehenswerten Vortrag Angriffsvektoren auf Smartphones dargestellt, und gleichzeitig Tipps gegeben sich gegen diese zu schützen. Zum Beispiel sollte der Anwender sich durchaus Gedanken machen in welchem Handy-Netz er sein Gerät betreibt, legen doch so manche Provider nicht sehr viel Wert auf Sicherheit im Datennetz. Um die Auswahl zu erleichtern verweisen die Vortragenden auf das von ihnen ins Leben gerufene Projekt www.gsmmap.org, hier werden die Sicherheitsfunktionen der verschiedenen Provider aufgeschlüsselt und verglichen.

2014

2013

2012