News iOS, iPadOS, watchOS & macOS: Schwachstellen für Staatstrojaner missbraucht

[LuckyMagnum]

Sehr Interessant. Mir war zwar klar, dass das ein Angriffsvektor ist aber um solche Seiten aufzurufen muss man sich ja erstmal durch einige Warnungen klicken oder kommen diese bei iOS gar nicht?

unverschlüsselte HTTP Seiten gibt es besonders bei alten Sites, die nicht mehr gepflegt werden, extrem häufig.
Besonders bei kleinen bis Unternehmen, die ihre Webseiten irgendwann vor Ewigkeiten einmal haben bauen lassen, und dann einfach als Businesscard mit den Infos des Ladens haben stehen lassen.
Da "funktioniert" Alles, weil es nur eine Seite (und evtl ein Impressum) ist, also "muss man nichts tun" so zumindest die Sicht der Leute.
Ich wette, wenn du mal mit Maps in der Nähe schaust, wirst du auch einige kleine Blumenläden, Dönerstände oder Werkstätten finden, die noch Websites von Anno dazumal haben, und wo du auch so eine Warnung bekommst. Wenn du nun aber auf diese Seite "musst", weil es in irgendeiner Weise von dir erwartet wird, klickst du die Warnung weg.

 

[XRJPK]

Schon krass das diese Programme wie .z.B. Pegasus ohne jegliche Nutzerinteraktion auf das Handy kommen. Bisher war ich immer naiv in der Annahme, dass man schon was blödes gemacht haben muss um eine Tür für den Angreifer zu öffnen. App installieren, Link anklicken oder ähnliches ... Aber das es einfach so geht ... schon krass ...

Ergänzung (23. September 2023)

Ich korrigiere das mal:

Bisher hat noch keiner der Hersteller absichtlich oder bewusst eine Backdoor eingebaut oder zumindest nicht öffentlich kommuniziert. ;-)

Naja letzteres würde ich nicht unterschreiben, wirf mal einen Blick nach Australien, was da so passiert 🙃
Ich bin fasziniert, das Atlassian da keine Probleme bekommt.

Thema 17.0.1 ca 17.0.2:

Neue iPhones haben zu Beginn immer eine andere Versionierung, die meistens erst mit dem .1 Update angeglichen wird. Hintergrund ist, dass neue Telefone immer mit einer iOS 17 RC bespielt werden (ab Werk) und sich die Änderungen bis zum Release für ältere Geräte erst laden muss (Major.0.X)

dH:
Ältere phones haben dann die Major.0 als Final Version
Neue phones die Major.0.1

Gemerged wird dann in der Major.1

Ergänzung (24. September 2023)

Log4j, sshd, libc, … Ne deine Ruhe hast du da auch nicht (Und das Kernel Changelog willst du auch nicht lesen …)

Du hast Stackrot vergessen 🙃

 

[Tenferenzu]

unverschlüsselte HTTP Seiten gibt es besonders bei alten Sites, die nicht mehr gepflegt werden, extrem häufig.

Das ist mir bewusst. Was ich nicht wusste ist, dass HTTP nicht automatisch überall blockiert wird.

 

[LuckyMagnum]

Das ist mir bewusst. Was ich nicht wusste ist, dass HTTP nicht automatisch überall blockiert wird.
Anhang anzeigen 1401477

Nochmal:
"Wenn du nun aber auf diese Seite "musst", weil es in irgendeiner Weise von dir erwartet wird, klickst du die Warnung weg."
Siehe unten den Button "Weiter zur HTTP-Website".
Es ist nicht so, dass der Normalo-Nutzer diesen Knopf nicht sieht und nicht anklicken kann.

 

[Helge01]

Warum sollte man gegen mehr Auswahlmöglichkeiten sein, wenn man sie ja nicht nutzen muss?

Einfaches Beispiel. Bisher bezieht man seine Apps ausschließlich aus dem Apple Store und kann sich sicher sein das damit alles in Ordnung ist. Gibt es in Zukunft weitere zur Auswahl kann es passieren, dass Entwickler ihre bisher über den Apple Store angebotenen Apps dann nicht mehr dort anbieten. Um die Apps weiter nutzen zu können wird man gezwungen diese über ein potentiell unsicheren Store zu laden. Auch wird sich das Verhalten dieser Apps negativ ändern, wenn sie nicht mehr unter der Kontrolle von Apple sind. Gerade kleinere App Entwickler werden das machen um Kosten zu sparen und zusätzliche Geldeinnahmen zu generieren. Dann kann man sich sicher sein das Tracking/Werbung und ausspionieren bei diesen Apps zunimmt, all das was Apple bisher bei Missbrauch unterbindet. Datenschutz kann man dann komplett vergessen.

Ich könnte mir gut vorstellen das es bei mir ca. 20% der installierten Apps treffen könnte, auf die ich dann aus Sicherheitsgründen verzichten müsste. Das wäre schon ärgerlich, da es Apps betreffen könnte wo es keine Alternative gibt.

 

[0x8100]

Bisher bezieht man seine Apps ausschließlich aus dem Apple Store und kann sich sicher sein das damit alles in Ordnung ist.

https://www.macwelt.de/article/9850...-apps-im-mac-app-store-teils-auf-platz-1.html

bei apple kocht man auch nur mit wasser.

 

[Helge01]

bei apple kocht man auch nur mit wasser.

Bestreitet auch keiner. Es ist aber ein gewaltiger Unterschied ob es Kontrollen gibt, oder Entwickler machen können was sie wollen.

 

[0x8100]

automatisierte (!) kontrollen gibt es bei google und apple. und genau diese lassen sich täuschen. keiner von beiden macht für jede app ein manuelles code review, erst bei verdachtsfällen wird genauer geprüft. sonst könnte man als entwickler ja einfach den test an google/apple outsourcen

 

[CastorTransport]

Dieses "Damals war alles besser" altert halt nicht besser, indem man irgendwelche Beispiele bringt.

Ok, Du verstehst es nicht, weil Du es Dir nicht vorstellen kannst. Kann ich nachvollziehen, Du hast die ganzen Zeiten halt nicht mitgemacht. Und wenn ich als Kind der 70er - der "alles gesehen" hat, halt berichten kann - werde ich eher als Boomer und "einer von gestern" zurückgestellt. Wenn man die Wahrheit halt nicht hören mag.

Es geht nicht darum, ob etwas einfach zu reparieren ist oder nicht. Heute kannst Du auch bei verklebten Smartphones selber reparieren, so - wie man es tat als sie noch nicht verklebt waren.

Ich habe niemals behauptet - das damals alles besser war - wo? Es ging hier um die Frage, ob die heutigen Generationen eher "einfältig" sind im Umgang mit Technik.

Früher wurde auch "soziale Kompetenz" von den Eltern weitergegeben - heute ist es der Umgang mit "sozialen Medien"?

 

[Helge01]

automatisierte (!) kontrollen gibt es bei google und apple. und genau diese lassen sich täuschen

Auch das bestreitet niemand. Es ist trotzdem ein gewaltiger Unterschied. Wenn ein Entwickler weiß das es keine Kontrollen gibt dann wird er das ausnutzen. Bei Apple besteht die Gefahr das es raus kommt und er aus dem Store fliegt (Account + Zertifikat).

Die Software aus dem Apple Store wird insgesamt immer sicherer sein als eine in freier Wildbahn. Eine absolute Sicherheit gibt es nirgends, das bedeutet aber nicht das Kontrollen keinen Sinn machen.

 

[0x8100]

Wenn ein Entwickler weiß das es keine Kontrollen gibt dann wird er das ausnutzen. Bei Apple besteht die Gefahr das es raus kommt und er aus dem Store fliegt (Account + Zertifikat).

warum behauptest du immer, dass es keine kontrollen gäbe? die gibt es im playstore ebenso. und genauso werden auch dort konten gesperrt und apps zurückgezogen.

Die Software aus dem Apple Store wird insgesamt immer sicherer sein als eine in freier Wildbahn.

das sind doch jetzt zwei verschiedene sachen. auch bei android zwingt dich keiner dazu, apps zu installieren, die nicht aus dem store kommen. im gegenteil, für den normalo ist das auch aus versehen nicht möglich, da man das erst explizit in den developer-settings erlauben muss und diese settings müssen auch erst aktiviert werden.

 

[Mxhp361]

Gerade erst alles auf 17 geuppt und jetzt schon wieder Updates. Mich nervt es, warum schaffen die nicht einmal ein iOS Release was nicht nach 3 Tagen gefixt werden muss.

Man kann auch einfach mal die von dir genannten 2-3 Tage warten und muss nicht jeder Update Instand laden!
Eigentlich sollte man das von den Grafikkarten Treibern kennen / gewohnt sein.

 

[Helge01]

warum behauptest du immer, dass es keine kontrollen gäbe? die gibt es im playstore ebenso. und genauso werden auch dort konten gesperrt und apps zurückgezogen.

Vom Google Playstore war gar nicht die Rede, aber klar gibt es dort genauso Kontrollen. Es ging um fremde Stores, da muss man zusätzlich jemanden Vertrauen, der eventuell nicht so genau hinsieht, oder auch gar nicht die Möglichkeiten dazu hat.

das sind doch jetzt zwei verschiedene sachen. auch bei android zwingt dich keiner dazu, apps zu installieren, die nicht aus dem store kommen.

Da wären wir wieder bei dem Punkt #125.

Gibt es in Zukunft weitere zur Auswahl kann es passieren, dass Entwickler ihre bisher über den Apple Store angebotenen Apps dann nicht mehr dort anbieten.

Gerade kleine Entwickler werden sich dann aus dem Apple Store zurückziehen. Dann hast du nicht mehr die Wahl außer App weiter nutzen (mit höherem Risiko da aus einen fremden Store) oder nicht.

 

[Salamimander]

Ich verstehe deine Intention. Aber die Option VERZICHT besteht doch dennoch, auch wenn es heute keiner mehr kann..

 

[Helge01]

Aber die Option VERZICHT besteht doch dennoch

Klar kann man verzichten und in dem Fall würde ich das auch tun. Es gibt aber unter IOS in bestimmten Bereichen z.B. Monitoring Tools (Icinga/Nagios, Matomo) oder XMPP Clients kaum eine Wahl. Wenn man dann darauf verzichtet, benötige ich z.B. eigentlich kein Smartphone mehr.

 

[0x8100]

Gerade kleine Entwickler werden sich dann aus dem Apple Store zurückziehen. Dann hast du nicht mehr die Wahl außer App weiter nutzen (mit höherem Risiko da aus einen fremden Store) oder nicht.

ist bei google nicht passiert, wird bei apple nicht passieren. die herstellereigenen stores sind DER anlaufpunkt nummer eins, kein entwickler mit kommerziellem interesse wird das aufgeben (ja, ich kenne die fortnite-geschichte).

übrigens checkt play protect auch playstore-fremde apps - apple steht es frei, das gleiche zu machen.

 

[cypeak]

solange irgendwo (extrem) zahlungskräftige kundschaft existiert, welche interesse hat mobile geräte zu inflitrieren, wird das interesse an den exploits auch hoch sein - für zero day lücken die am ende der kette code execution ermöglichen werden da teilweise abartige summen geboten.

unterm strich muss man davon ausgehen dass so ziemlich alle smatphones angreifbar sind - mal etwas einfacher mal schwerer, aber wenn dahinter entsprechend staatliche ressourcen und möglichkeiten stehen, welche von unternehmen mit solchen werkzeugen versorgt werden, ist potentiell niemand wirklich "sicher".

 

[Cool Master]

Das lag an der geringen Verbreitung des Betriebssystems.

Das stimmt so nicht. Wenn das so wäre, müsste fast jeder Server infiziert sein, da die fast alle auf Linux laufen. Ich würde eher sagen die Verbreitung sagt erstmal nichts aus sondern das macht sich nur auf die Auswirkungen bemerkbar. Des Weiteren ist das Konzept von Linux und MacOS nach wie vor gut aber es kann halt nicht alles stoppen, vor allem Zero-Day Lücken.

Ich finde Apple reagiert im Falle von Zero-Days eigentlich immer sehr gewissenhaft und schnell. Daher begrüße ich das und das ist auch ein Grund warum es das 15 Pro Max wurde.

 

[Pipmatz]

Und wozu dann freien Store, wenn es keiner Benutzt?

Was verdrehst du da…das ist Quatsch.
Es geht darum das es jedem frei steht ihn zu benutzen: FREIHEIT!
Genauso wie bei Windows und Linux und macOS und das geht da seit Jahrzehnten!

Benutze weiterhin den Apple Store und fertig.
Und die die Freiheit wollen und den Entwickler unterstützen wollen, damit er das volle Geld bekommt anstatt Apple 30 % geben zu müssen, können es dann auch machen.

Vergleiche ein Handy nicht mit Windows oder Linux usw.

Wieso traust du dich nicht darauf einzugehen?
Weil dann deine ganze Argumentation verpufft und du es selber merkst.

Smartphones sind Computer!

Was glaubst du, warum die meisten Firmen ein iPhone als Firmenhandy benutzen und nicht Android Handys?

Weil Apple bessere Tools hat (bzw. Es Firmen gibt mit Tools ) mit denen man viele iPhones leicht administriert.

Dass mit Teenager kann Apple nichts dafür, dazu müssen Eltern und die Regierung aktiv werden.

Yo. Und ein freier Store kann da genauso wenig für.

Wenn es Probleme mit den Apps aus freiem Store gibt, wem man das Ganze in die Schuhe schiebt, nicht EU, sondern Apple.

Was für ein Quatsch redest du da?
Schon mal Rezensionen im App Store gelesen? Da geben User bei negativen Rezensionen dem Entwickler die Schuld!

Phil Schiller…bist du es etwa? 🤣🫣

Und wie sieht es mit Support, wenn die Apps aus dem Freien Store mehr Akku verbrauchen oder die iPhones nicht richtig funktionieren?

Hallo lieber Entwickler der App.
Du warst noch nie in Foren von Entwicklern unterwegs oder?

Hier entstehen noch mehr Probleme, wo eigentlich Apple für verantwortlich gemacht wird.

Es kommen die selben nicht existenten Probleme wie bei Windows und linux und macOS…
Du erfindest welche die es nicht gibt.

Wie konnte die Menschheit nur überleben mit einem Windows, Linux und Mac OS das uns die Freiheit gab!🥳

Ach ja, Apple will natürlich nur seine 30% sichern vom App Store Umsatz.
Es gibt nur diesen einen Kapitalisten Grund warum Apple gegen den Store ist.

 

[FR3DI]

Was für ein Quatsch redest du da?

Absoluter Quatsch ist das nicht, es ist schon was wahres dran. Mal als Beispiel; als ich ehemals mich beim Support von HUAWEI beklagt hatte, warum man keinen "Unlock-Code" mehr heraus gebe, meinte jener Support unteranderem, das wenn etwas aufgrund Modifikationen nicht so wie erwünscht funktioniert hat, der Hersteller dafür die schuld bekommen hat.

Gruß Fred.