Websicherheit.org

Apple hat insgesamt 24 Sicherheitslücken im iOS 4.1 für iPhone und iPod touch geschlossen.
Alleine 20 Sicherheitslücken fallen auf die Browser-Engine Webkit, welche Angreifer ausnutzen können um Schadcode in ein Gerät zu schleusen und zu starten.
Eine Übersicht aller geschlossenen Sicherheitslücken findet man im Security Content von Apple.
Die Updates können via iTunes herunter geladen und eingespielt werden.

• WLAN-Router-Lücken: Stalking mit Google Street View
• Schwachstelle in Palm Pre soll erst im Herbst geschlossen werden
• Android-Spiel verschickt heimlich GPS-Koordinaten
• ColdFusion-Lücke kritischer als ursprünglich angenommen
• Datenschutz: Facebook stopft Datenleck beim Login
• Polizei kann alle Skype-Telefonate belauschen

Apple hat Patches für iPhone, iPad und iPod touch veröffentlicht, welches die Jailbreakme-Lücke schließt.
Apple empfiehlt die Patches zeitnah zu installieren, da Angreifer die Lücke statt zum Entsperren der Geräte zur Infektion mit Malware missbrauchen könnten.

Besonderer Schwerpubkt wurd hier auf iPhone und iPod touch (iOS 4.0.2) sowie auf iPad (iOS 3.2.2)gelegt.

Da diese Patches nicht für die Geräte der 1. Generation greifen weißt Heise.de in diesem Artikel auf einen Patch der Jailbreak-Community hin, welches Updates für die Geräte der 1. Generation zur Verfügung stellt.

Mit dem iOS 4 hat Apple über 60 Sicherheitslücken geschlossen, die den vorherigen Versionen iOS 3.1.x und die ältere Version 2.x anhaften.
Dieses Betriebssystem wird auf den Geräten iPhone und iPod touch betrieben.
Die meisten Sicherheitslücken wurden in der Browser-Engine Webkit geschlossen.
Diese Lücken könnten Angreifer für Cross-Site-Scripting-Angriffe oder das Einschleusen und Ausführen von Schadcode ausnutzen.
Eine detaillierte Übersicht aller behobenen Lücken findet man im Security content of iOS 4 von Apple.

Nutzer von iPhone und iPod touch Geräten der ersten Generation dürften hier allerdings Probleme haben, auf das neue Betriebssystem zu aktualisieren.
Wer aktuellere Geräte benutzt, der kann die Aktualisierung über iTunes 9.2 vornehmen.

• Vorgebliche Android Live-CD installiert Malware
• Microsoft installiert heimlich ein Add-on für Firefox
• Swift-Abkommen steht kurz vor Unterzeichnung

Was wenn man sein mobiles Gerät (Handy) irgendwo vergessen hat oder es einem gestohlen wurde?
In den meisten Fällen findet man es nicht dort wieder, wo man es hat liegen lassen oder wenn es gestohlen wurde, dann kann man sich von den Gerät ebenfalls verabschieden.

In der Vergangenheit wurde die eine oder andere Software angeboten (kostenpflichtig), welche es dem Eigentümer des mobilen Gerätes erlaubte beim Verlust dieses zu orten oder zu sperren.

F-Secure bietet nun die Software “Anti Theft for Mobile” kostenlos an.

Das Programm kommt mit folgenden Features daher:

1. #LOCK# – TELEFON PER FERNZUGRIFF SPERREN
2. #WIPE# – TELEFON PER FERNZUGRIFF LÖSCHEN
3. #LOCATE# – VERLOHRENES TELEFON AUFSPÜREN

Darüber hinaus wird eine Diebstahlsicherung angeboten, welche dann greift, wenn das mobile Telefon gestohlen wurde und der Dieb eine andere SIM-Karte in das Gerät einfügt.
In diesem Fall sperrt sich das Telefon und die Telefonnummer der neu eingelegten SIM-Karte wird an den Eigentümer des Telefon übermittelt.

Anti Theft for Mobile steht für die Betriebssysteme Symbian, Windows Mobile und Android für verschiedene Hersteller und Modelle zur Verfügung.

Update:
Wer sich jetzt nicht vorstellen kann, wie das mit “Anti Theft for Mobile” in der Praxis bei einem Verlust funktioniert, der kann sich dieses Video anschauen:

Videoquelle: www.youtube.com / Channel FSecureNews

Einfacher geht es fast gar nicht

F-Secure berichtet mit Verweis auf Engadget, das einige der in Deutschland ausgelieferten Smartphones Samsung S8500 Wave auf der 1-GByte-microSD-Karte eine Malware beinhaltet.
Wird das Samsung Wave (oder die microSD-Karte) mit einem PC verbunden, bei dem die Autorun-Funktion aktiv ist, wird das System mit dem Trojaner Win32/Heur infiziert.
Samsung bestätigte gegenüber Engadget, dass sich der Schadcode auf die erste Produktion der deutschen Ausgabe des Samsung Wave eingeschlichen hat.
Wer ein derartiges Gerät besitzt sollte an seinem PC die Autorun-Funktion deaktivieren und die microSD-Karte mit einem aktuellen Virenscanner überprüfen.

…denn wenn es jemand findet, und ein wenig neugierig ist, kann der Finder einige Daten aus dem iPhone auslesen.
Normalerweise werden diese Daten auf dem iPhone 3GS via Hardware mit 256-Bit-AES verschlüsselt.
Diese Verschlüsselung wird immer durchgeführt und der Nutzer des Gerätes kann dies nicht deaktivieren.
Der Nutzer hat nun 2 Möglichkeiten, auf die gespeicherten Daten des iPhone zu zugreifen.

1. Entweder über das iPhone direkt
2. Oder das iPhone mit einem Rechner verbinden

Bei der 2. Methode ist eine Abfrage der Daten mit dem iPhone nur dann möglich, wenn dieses vorab schon einmal mit dem betreffenden Rechner verbunden war, weil bei dem Initialen Abgleich die benötigten Schlüssel/Zertifikate ausgetauscht werden.
Und ein Austausch dieser Schlüssel/Zertifikate nicht möglich, wenn die Verschlüsselung greift.
Derjenige, der das iPhone gefunden hat, sollte also normalerweise nicht auf den Datenbestand zugreifen können.
Wenn… ja wenn Bernd Marienfeldt, Sicherheitsmitarbeiter des britischen Internet-Knotens LINX nicht mit dem iPhone etwas herum gespielt hätte.
Er hat hier dokumentiert, wie man trotzdem auf das iPhone zugreifen kann – Und dafür sind keine speziellen Kenntnisse erforderlich.
Was braucht man:

1. Einen Rechner mit installiertem Ubuntu Linux 10.04 (ein virtualisiertes Linux soll hier nicht funktionieren)
2. Ein iPhone
3. Ein USB Kabel (vom iPhone zum PC)

Wie funktioniert das ganze?

1. Linux starten
2. Ausgeschaltetes iPhone mit USB-Kabel mit dem PC verbinden
3. iPhone einschalten

Was passiert?
Der Automounter bindet das Dateisystem sofort ein und gewährte den Zugriff auf mehrere Ordner – obwohl das iPhone vorher noch nie damit verbunden war.

Bildquelle: http://marienfeldt.wordpress.com

Warum funktioniert das ausgerechnet mit Ubuntu 10.4? Nun seit der neusten Version ist das Paket libimobiledevice per Default mit installiert.
So gesehen würde es auch mit einem Debian testing funktionieren, wenn dieses Paket dort installiert wäre.

Maßnahme:
Bloß das iPhone nicht verlieren, wenn wichtige/pikante Daten darauf gespeichert sind und wenn doch, darauf hoffen, dass der Finder nicht in der Lage ist ein Linux zu installieren.

Update:
Gerade auf heise.de gelesen:

[...] Das ist nicht auf Linux-Systeme beschränkt. So gelang es heise Security mit dem gleichen Verfahren, ein Windows-Vista-System mit einem iPhone zu verbinden. Anders als unter Linux, das nur ein paar ausgewählte Ordner anzeigte, war damit ein vollständiger Zugriff auf das System gewährleistet. So war es problemlos möglich, ein komplettes Backup zu erstellen, das unter anderem Notizen, SMS-Nachrichten und sogar Passwörter im Klartext enthielt. [...]

Dieses Verfahren klappt aber nicht immer zuverlässig bei allen Geräten-
Laut heise.de soll sich das nicht am Gerätetyp festmachen lassen, da sowohl 3G- als auch 3GS-Systeme sich austricksen lassen. Details, warum es mal klappt und wiederum nicht gibt es keine. Ebenso gibt es noch keine Stellungsnahme seitens Apple.

Update 2:
Heise.de hat in einem Update eine wichtige Erkenntnis zu diesem Thema nach gelegt.
Laut den Entwicklern der Linux Pakete usbmuxd und libimobiledevice tritt dieses Phänomen nur dann auf,
wenn das iPhone in entsperrtem Zustand ausgeschaltet wird.
Umkehrschluss: Man kann das iPhone auch im gesperrten Zustand ausschalten.
Und somit sollte dann kein Zugriff auf das Gerät erfolgen.

Meine Meinung:
Das hat dann doch einige Tage gedauert, bis man dahinter gekommen ist, was die Ursache ist.
Bedeutet – Die meisten iPhone Nutzer scheinen Ihre Geräte ungesperrt auszuschalten.
Ist das nun wirklich ein Problem von Apple?
Weiß nicht… so wenig der iPhone Inhaber die Absicht hat, sein iPhone irgendwo zu vergessen oder zu verlieren, so wenig ist dem Nutzer bewusst, das man das iPhone auch vor dem Ausschalten sperren kann.

Wenn diese iPhone Nutzer auch noch ein Auto sein eigen nennt, wem gibt er die Schuld, wenn er sein Auto unverschlossen abstellt? Sich selbst oder dem Autohersteller?

Was wird also passieren?
Der betreffende Autohersteller wird keine “Autolock-Funktion” nachrüsten, wenn das Fahrzeug abgestellt wird.
Apple wird vermutlich bei der nächsten Version des iPhone Betriebssystem darüber nachdenken, eine entsprechende Funktion zu implementieren – Höchstwahrscheinlich, denn nichts genaues weiß man nicht.

Der Mobile-Markt ist eigentlich gesättigt. Trotzdem wird mit allen Mitteln versucht, weitere Mobile Telefone oder Smartphones an den Mann (die Frau) zu bringen.
Hier wird man des öfteren von den Kombi-Angeboten erschlagen, wo man eine Spielekonsole, ein Notebook, oder einen Motorroller kostenlos erhält, wenn man denn diesen oder jenen Mobilfunk-Vertrag abschließt.
Über eine besonders knackige Masche berichtet c’t-TV in diesem Artikel:

Die „beste“ Handyfalle, wie wir kennen:
Kostenloses Handy, aber fast 400 Euro für einen Download

Sollte man mindestens einmal gelesen, bzw. das Video einmal gesehen haben, damit man nicht auf derartige Angebote herein fällt.

Wer ein Smartphone mit dem Betriebssystem Windows-Mobile sein eigen nennt, der sollte bei dem Download von weiteren Anwendungen oder Spielen besonders vorsichtig sein.
Im Windows-Mobile-Forums – XDA-Developers wird berichtet, das mehrere Nutzer von Smartphones mit Windows-Mobile von diesem Trojaner betroffen sind.
Mehrere Nutzer berichten im Forum übereinstimmend, dass das Spiel “3D Anti Terrorist” von Angreifern mit diesem Trojaner infiziert wurde, welches über diverse Webseiten dann zum Download angeboten wird.

Denkbar, das noch andere Anwendungen von diesem Trojaner befallen sind (zumindest hatte der “Erst-Poster” in diesem Forum das Spiel nicht installiert).
Wer von diesem Trojaner betroffen ist, der sollte auf dem Smartphone schnellstmöglich Auslandsgespräche blocken, und mit einem geeigneten Virenscanner das Smartphone bereinigen.