Sich mit dem Thema auseinanderzusetzen schadet nie. Aber Beiträge bis zum Ende zu lesen auch nicht. Niemand hat in diesem Beitrag die Sicherheit eines Endgeräts proklamiert, sondern lediglich die Vorgehensweise in der gezeigten Fernsehsendung kritisiert, weil der Vorgang schon mit den Fernsehbildern allein als nicht authentisch zu entlarven ist.

Diese hysterische Perspektive, die da gezeigt wurde, werde ich jedenfalls nicht gutheißen, nur damit irgendwelche Sicherheitsfirmen darauf ihr Geschäftsmodell aufbauen und unwissenden Kunden das Geld aus der Tasche ziehen. Eine Sendung wie MARKT – von der erwarten Zuschauer keine gescriptete Realität, wie man sie im Privatfernsehen sieht. Laiendarsteller sollen irgendwelche obskuren Dinge mit manipulierten Smartphones nachstellen. Und das soll dann der Realität entsprechen?

Nebenbei bemerkt schicken Millionen von Bots tagtäglich irgendwelche Dateien irgendwohin. Auch wenn jemand über einen Hotspot eingeloggt ist, „muss“ das nicht per se ein Sicherheitsrisiko darstellen. Die meisten Endgeräte sind für die ausgesendeten Übertragungen gar nicht empfänglich. Dass Fachleute immer Mittel und Wege zu suchen, Schlupflöcher zu finden ist der Lauf der Zeit und Schutz UND „Aufklärung“ sind wichtig. Aber mit Aufklärung hatte der MARKT-Beitrag nicht viel zu tun. Die Leute denken, ihr iPhone sei nicht sicher, wenn sie sich ins Internet einloggen. Meine Oma hat auch immer Sorge gehabt, mir könnte was passieren, wenn ich auf die Straße gehe. Nach so einem Muster wurde dort Information verbreitet.

Und Sie können auch den Jailbreak nicht missbrauchen, um ein Schreckensszenario zu skizzieren. Wie viele von Apples mehrere hundert Millionen iOS-Endgeräten verfügen denn über einen Jailbreak? Und man kann Apple vieles vorwerfen, aber mit der Update-Politik bedienen sie das Gros der Kunden und können so Sicherheitslöcher auf super vielen Endgeräten schließen. Was macht denn bittschön jemand, der gerade heute ein Android-Smartphone kauft, bei dem eine veraltete Version des OS installiert ist, die angenommen eine Sicherheitslücke aufweist, von der aber ebenfalls schon heute klar ist, dass der Handyanbieter kein OS-Update herausbringen wird? Das ist doch in der Tat fahrlässig. Apple bietet keine Geräte mehr mit der gezeigten iOS-Version an und versorgt selbst das 3GS noch mit dem neuen iOS 6.

Ich empfehle Ihnen dringend, sich mit dem Thema etwas mehr auseinanderzusetzen, bevor Sie so vollmundig die Sicherheit Ihres Endgerätes proklamieren.

Der Angriffsvektor wurde jetzt mehrfach genannt. Schon nach oberflächlichem Lesen Ihrer Beschreibung des TV-Berichts ist das ein naheliegender Gedanke. Die Strategie ist auch nichts neues, und daß das iPhone verwundbar ist, zeigt jeder einzelne Jailbreak.

Der einzige Weg, sich nicht angreifbar zu machen, ist die Deaktivierung der Wi-Fi-Verbindung. Sobald Sie Ihren Angreifer als Hotspot akzeptiert haben, kann der Ihnen schicken, was er will – egal, was Sie machen. Selbst wenn Sie nichts tun, würde ich nicht ausschließen, daß irgendeine App oder ein Systemdienst selbsttätig ins Netz geht und kompromittiert werden kann.

@Constantin: „Man lenkt die Leute auf eine Seite“… An der Stelle kannst du doch mit deiner Argumentation schon aufhören. Das entspricht nicht dem Szenario aus dem WDR-Beitrag, in dem es heißt, man kauft sich ein Smartphone, setzt sich in ein Café und kann gehijackt werden. Richtig ist, dass ein Teil derjenigen iPhone-User „früher“ (bis iOS 4.3.3.) „verletzlich“ waren, aber nur wenn ihr Smartphone bereits manipuliert war. Wenn das den Besuch einer Seite voraussetzt, dann hätten diese auch erst einmal diese Seite besuchen müssen. Wie soll ein Unbekannter einen Fremden in einem Café dazu bewegen unbedingt eine Seite aufzurufen? Naive und leicht beeinflussbare Leute gibt es immer, das stimmt. Aber so wie es dort präsentiert wurde, geht es nicht ohne Weiteres.

Sicher ist die Lücke bei aktuellen Devices mit iOS 5.1.1. nicht mehr vorhanden und der Bericht ist nicht ideal, weil kein Wort zum Update und damit dem Schutz der Anwender vor solchen Sachen berichtet wird. Man hätte sagen können, dass die Lücke mittlerweile gepatched ist.

Allerdings ist niemand vor Zero-Day Lücken geschützt, wenn diese noch nicht veröffentlich wurden, aber schon für Angriffsszenarien genutzt werden können.

Viele Grüße aus Berlin, Constantin

bis iOS 4.3.3 war solch eine Attacke per Drive-By möglich:
Genau erklärt wird das hier: http://www.mcafee.com/us/resources/white-papers/wp-apple-ipad-hack.pdf

Geht mit allen iOS Devices bis iOS 4.3.3

natürlich ist es haatsträubend, wie dieser tv-bericht aufgezogen wurde. das ist reine pr, sowohl der sender als auch die firma sollten im eigenen interesse nicht so vorgehen.

ich finde es allerdings auch haarsträubend wie dieser artikel hier vorgeht – denn die hier durchgeführten „versuche“ sind vielleicht dazu geeignet um den gezeigten bericht in frage zu stellen, allerdings ist das hier genannte völlig unbrauchbar bei einer diskussion über die sicherheit des iphone.

und genau das wird übersehen. da läuft ein artikel im tv der sich ausnahmsweise mal mit der sicherheit mobiler endgeräte benutzt – und sofort hat man hier die analyse wie falsch der bericht doch sei.

beide berichte haben ihre schwachstellen, aber ich fand es durchaus begrüßenswert dass das thema überhaupt erwähnt wurde – die medien müssen die nutzer solcher geräte noch viel stärker für das thema sicherheit sensibilisieren.

was soll ich also davon halten wenn ein artikel wie dieser hier dazu nur besserwissend meint „alles garnicht wahr“?

das ist nicht minder „volksverdummend“ als der eigentliche tv-bericht.

Nachtrag
…

Zu dem Vorwurf, das iPhone sei für den Test mit einem Jailbreak vorab manipuliert worden, hat uns die Sicherheitsfirma versichert, dass für das genannte Szenario ein vorheriger Jailbreak nicht erforderlich sei. Die Mitarbeiter führten einen Jailbreak erst durch, nachdem sie mit dem Smartphone Kontakt über W-LAN aufgenommen hatten.

Außerdem hat uns die Sicherheitsfirma bestätigt, sie sei jederzeit bereit, den Test zu wiederholen