Auch an diesem Blog ging die Sommerpause nicht spurlos vorüber, nach dem wohlverdienten Urlaub starten wir mit neuer Energie in den Herbst. iOS 9 steht bevor und damit natürlich neue spannende (Sicherheits-)Funktionen, inklusive Update des iBooks. Doch zuerst noch ein kurzes Update.
Mit Interesse verfolgen wir steht’s wenn es um Veröffentlichungen geht, aus denen man Rückschlüsse bezüglich der Zusammenarbeit zwischen Apple und Strafverfolgungsbehörden ziehen kann. Ein aktueller Report der New York Times zeigt wieder, das iMessage definitiv auch von Apple nicht einsehbar ist, echte Ende-zu-Ende Verschlüsselung lässt Grüßen, und Apple sich auch mit Händen und Füßen gegen die Behörden gewehrt hat. Dennoch wurde Apple zur Zusammenarbeit gezwungen und gab iMessage Protokolle im Rahmen von Waffen- und Drogenermittlungen an das FBI. Die Daten stammen aus Backups die in der iCloud abgelegt wurden.
Fireeye bekleckert sich im Moment nicht gerade mit Ruhm, glaubt man dem Pastebin von Kristian Erik Hermansen. Hier verweist er auf mehrere kritische Schwachstellen, die es ermöglichen Fireeye Systeme zu kompromittieren. Kritisch ist die Veröffentlichung insbesondere deshalb, da Fireeye wohl seit über 18 Monate über die Lücken informiert ist, aber weder einen Patch zur Verfügung stellt, noch die Kunden über die Gefahren informiert.
Einen durchaus lesenswerten Artikel über das Reverse Engineering von iOS App wurde im Blog von realm.io veröffentlicht. Anhand einer Beispiel App werden Techniken und Tools vorgestellt, mit deren Hilfe man die Funktionsweise (z.B. REST API) einer App ergründen kann.
Ein Google Sicherheits-Team hat eine gefälschte Webseite entdeckt, die sich als Webpräsenz der EFF (Electronic Frontier Foundation) ausgibt. Spannend ist die Entdeckung, da der durch die Seite verbreitete Trojaner auch Mac und Linux Rechner infiziert.
Wie gefährlich die Nutzung eines Jailbreaks und damit einhergehender Tweaks ist, zeigt eine aktuelle Analyse von Palo Alto Networks. In dem KeyRaider genannten Angriff werden vom Benutzer iCloud-Zugangsdaten, Zertifikate und private Schlüssel vom Gerät gestohlen werden. Der Trojaner ist auch in der Lage den Benutzer zu erpressen, indem er die PIN zum entsperren verändert. Sicherheitslücken in iOS wurden nicht ausgenutzt, der Trojaner bedient sich nur der Optionen, die durch den Jailbreak ermöglicht werden. Angeblich wurden schon über 220.000 iCloud Accounts auf diese Weise gestohlen.
Wie auch jetzt erst bekannt wurde, schließt iOS 8.4.1 eine kritische Schwachstelle mit der Apps im Hintergrund weiterlaufen obwohl sie im Task-Manager beendet wurden, und weiter Daten versenden. Die Ins0mnia-Schwachstelle überlistet dabei iOS und gaukelt dem Betriebsystem vor im Debug-Modus zu laufen, und daher nicht beendet werden kann.
Nach der Partnerschaft mit IBM, hat Apple nun auch eine engere Zusammenarbeit mit Cisco angekündigt. Diese Ankündigung ist für Unternehmenskunden sicherlich spannend, ist Cisco doch ein weit verbreiteter Zulieferer bei jeglicher Art von Netzwerkkomponenten und Telefonie. Auch eine besseres Zusammenspiel zwischen iOS-Geräten und WebEx wäre wünschenswert.
Im November kommt der nächste Steve Jobs Film in die deutschen Kinos. In dem Streifen verkörpert Michael Fassbender Steve Jobs und erhält durchweg positive Kritiken, auch von Woz(http://deadline.com/2015/09/steve-wozniak-says-steve-jobs-the-movie-gets-it-all-correct-1201516399/).
Google hat eine Anleitung veröffentlicht mit der sich die von Apple eingeführte ATS (App Transport Security) deaktivieren lässt, und erntet dafür prompt Kritik. Diese neue Funktion soll dafür sorgen, dass Apps nur Daten von sicheren Verbindungen nachladen, was bei diversen älteren Anwendungen (oder Werbeanbietern) aber zu Problemen führen kann.