Push-Bug: Push-Fixes Schuld an fehlgeleiteten Benachrichtigungen?

kg, den 23. Juli 2009
News
News

Fehlgeleitete Push-Nachrichten: Ein Problem nur bei iPhones mit Jailbreak und Unlock? Weit gefehlt. Am Dienstag berichteten wir über Till Schadde von Equinux und einige Ungereimtheiten mit falsch zugestellten Benachrichtigungen. Was viele vermuteten: Es ist ein Problem, das nur dann entsteht, wenn die Nachricht auf ein Jailbreak-iPhone ausgeliefert wird. Tatsache ist, dass Tills iPhone, auf das eine Nachricht testweise geschickt wurde, ohne jeglichen Hack betrieben wird.

Problemquelle sind offenbar hacktivierte iPhones, da diese nicht die erste Aktivierung bei Apple durchlaufen und so der individuell ausgestellte Schlüssel und das Zertifikat, die beide für Push und auch YouTube nötig sind, fehlen.

Wer also beispielsweise vor der regulären Aktivierung sein iPhone mit redsn0w und einer SIM eines anderen Anbieters hacktiviert, kann mit seinem Gerät mangels Zertifikat und ID Push nicht nutzen, da der nötige individuelle Device Token nicht zugewiesen werden kann.

Mit dem Push Fix des Dev-Teams kann ein regulär ausgegebenes Zertifkat nebst Schlüssel von einem iPhone auf ein hacktiviertes Gerät aufgespielt werden. Problem an diesem Vorgehen: Apples Push-Server liefert die Push-Nachrichten auf beide Geräte aus. Über einen anderen Push-Fix von iPhoneIL wurde ein einzelnes Zertifikat sogar auf unzählige Geräte aufgespielt, auf denen nun die Push-Nachrichten falsch erscheinen.

In einem Telefonat haben wir den aktuellen Sachverhalt von Dienstag, wie er bei Till aufgekommen ist, noch einmal genauer eingrenzen können: Er hatte versucht, von iChat auf seinem Mac eine Nachricht auf das AIM auf seinem hack-freien iPhone zu schicken. Die Push-Benachrichtung über diese Nachricht landete aber nicht nur bei ihm, sondern auch bei einem Amerikaner, der ihn darüber in Kenntnis setzte. Besagter Amerikaner hatte auf seinem iPhone einen Push-Fix installiert.

Sowohl Apple als auch AOL sind sich dem Problem bewusst. Es ist wichtig zu sagen, dass es kein Exploit ist, sondern viel mehr eine Verwirrung im Push-System bei Apple. Den AOL-eigenen Nachforschungen zufolge besteht das Problem bei Jailbreak-iPhones, da durch diesen Prozess die Registrierung bei Apple gestört wird und deshalb Push-Benachrichtigung nicht möglich ist. Auch AOL sieht den Knackpunkt in der Vergabe der ID-Nummern durch verschiedene Push-Fixes. Wie genau das Benachrichtigungssystem auf Apples Push-Servern abläuft, weiß AOL allerdings nicht, beide arbeiten allerdings gerade an einer Lösung des Problems.

Das pikante Detail an dem Problem mit den fehlgeleiteten Push-Nachrichten ist, dass nicht nur Hacker, sondern auch Nutzer offiziell freigeschalteter und Hack-freier iPhones davon betroffen sind und keine Chance haben, dies zu beeinflussen.

Bis dahin ein Tipp für Nutzer von AIM für iPhone: Wer auf die Benachrichtigungen nicht verzichten möchte, der sollte in den Push-Einstellungen innerhalb der App den Push-Modus im Menü „My Info -> Preferences -> Push Notifications“ auf Brief oder Sender only umschalten, damit der Nachrichteninhalt nicht gesendet wird.

Und ein allgemeiner Hinweis von uns: Egal, in welcher Form man seine Nachrichten verschickt, man kann nie absolut sicher sein, dass diese auch wirklich beim gewünschten Kontakt ankommen. Gerade vertrauliche Daten sollte man daher am besten über verschlüsselte Wege weitergeben…


Ähnliche Nachrichten