Wattwanderer
Rear Admiral
- Registriert
- Juni 2005
- Beiträge
- 5.789
w33werner schrieb:
Google würde sich artig bedanken und zum Scheckbuch greifen, um Bug Bounty auszuzahlen?
News iOS-Sicherheitslücke: Apple reagiert auf Vorwürfe seitens Google
- Ersteller SVΞN
- Erstellt am
- Zur News: iOS-Sicherheitslücke: Apple reagiert auf Vorwürfe seitens Google
Google würde sich artig bedanken und zum Scheckbuch greifen, um Bug Bounty auszuzahlen?
J
Jens1882
Gast
owned139 schrieb:
Wer sucht der findet immer links die dem einen oder anderen mehr Punkte geben, aber gut ich bin raus das ist eh wieder nur der typische Schwanz Vergleich hier.
Android sicherer als iOS und Windows
21.05.2019
https://www.crn.de/security/artikel-119914.html
https://www.gartner.com/en/documents/3840064
S
smalM
Gast
Christock schrieb:
Die Lücke war zwar 2 Monate lang offen aber geschlossen wurde sie 10 Tage nach Bekanntwerden.
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 38.543
Blutschlumpf schrieb:
Nö, das findet keiner unangemessen. Was unangemessen ist, die Art wie man darüber berichtet. Jeder hat Fehler im OS. Sei es MS, Apple, Google oder auch Linux wo Menschen arbeiten entstehen Fehle rund Bugs. Man kann aber ein bericht sensationell schreiben oder sachlich und der Bericht kommt für mich eher etwas sensationell herüber, so nach dem Motto "Ha, gotcha".
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 38.543
Wattwanderer schrieb:
Glaube eher nicht, kenne die ToS nicht aber ich denke, dass das Bug Bounty eher auf Privat Personen oder Firmen aus ist die sich darauf spezialisiert haben.
stevefrogs
Lt. Commander
- Registriert
- Jan. 2018
- Beiträge
- 1.515
Weil sonst das Risiko, dass die Lücke entdeckt und geschlossen wird, rasant ansteigt. Unzählige Sicherheitsforscher grasen das Web ab, haben Honeypots bereit, etc. Umso mehr Leute du infizierst, umso eher fliegt die Sache auf. Deshalb lieber eine kleine Gruppe, noch dazu eine Minderheit, die im Westen wenig Beachtung findet, da kann man sich vergleichsweise lang austoben ohne erwischt zu werden.Salutos schrieb:
Siehe auch die News von letzter Woche mit den US-Hacker-Angriffen auf die iranischen Revolutionsgarden. Da haben auch einige US-Experten kritisiert, dass der Angriff unnötig war und man einen wertvollen Zero-Day verschwendet hat, denn jetzt ist der bekannt und wird so nicht noch einmal funktionieren.
SlaterTh90 schrieb:
Wenn du das so garantierst hast du bestimmt das hier gelesen:
https://www.apple.com/business/docs/site/iOS_Security_Guide.pdf
Und mir dem hier verglichen:
https://source.android.com/security/reports/Google_Android_Enterprise_Security_Whitepaper_2018.pdf
Ich würde sagen das nicht nur die Seitenzahl einen Hinweis darauf gibt das ios Geräte nicht nur wegen App Store Prüfungen und Software Updates sicherer sind.
Z.b. Das worüber sich jeder bei iOS aufregt, das sehr restriktive Sandboxing ist ein weiterer Punkt. Und es gibt einiges mehr..
whigga schrieb:
das potenziell erhöht sich aber, sobald der diktatorischer Staat dahinter steht. Da werden die ISPs gezwungen, bei der ersten Verbindung der Session eine "staatliche" Website auszuliefern statt der eigentlich angesurften als "Willkommen"sseite, die die infektiösen Scripte läd. Ähnlich wie es die Telekom standardmäßig mal bei Error 404 gemacht hat, da wurde dann eine Telekomseite davor geschalten, das die aufgerufene Website nicht existiert mit Suchpotionen etc. als Service.
das kann auch regional begrenzt werden, dennoch kann man damit eine Schrotflinteneffekt haben.
O
owned139
Gast
Geht nicht um die Links, sondern darum, dass Android den Encryption Key im Speicher hält, was iOS nicht tut.Jens1882 schrieb:
Man kann die Keys also einfach auslesen.
Und warum?Jens1882 schrieb:
Zum Thema Fanboy: Du bist einer, weil du relativierst, um dein Android zu verteidigen.
T
Tuxgamer42
Gast
Tja, habe schon bisschen Schadenfreude.
Apple hatte jetzt ein halbes Jahr Zeit ein - von der Marketingabteilung abgesegnetes - eigenes Statement herauszuhauen. Eigentlich schon bitter, dass es letztendlich Google braucht, dass wir dann doch von solchen Sicherheitslücken erfahren...
Und jetzt gefällt Apple das Google-Statement nicht? Auch wie traurig
.
Das kommt mir doch bekannt vor. Und ja: Wie man sieht hat sich Apple wirklich deutlich mehr Mühe gegeben, das Whitepaper zusammenzuschreiben.
Schon damals habe ich leider keine Antwort bekommen, was uns das nun im Detail zu Systemsicherheit sagen soll.
Und das restriktive Sandboxing machst du an dem Storage-System fest - also dass es Android die Permission "Storage" gibt, mit der du auf geteilten Speicher zugreifen kannst? Oder übersehe ich da gerade wesentliche Punkte?
Nur weil, da hat sich nämlich Android 10 - übrigens sehr zu meinem Misfallen - auch wieder viel geändert (so ein unglaublicher Mist!).
Das "Und es gibt einiges mehr" würde mich im Detail interessieren.
Apple hatte jetzt ein halbes Jahr Zeit ein - von der Marketingabteilung abgesegnetes - eigenes Statement herauszuhauen. Eigentlich schon bitter, dass es letztendlich Google braucht, dass wir dann doch von solchen Sicherheitslücken erfahren...
Und jetzt gefällt Apple das Google-Statement nicht? Auch wie traurig
.Garack schrieb:
Das kommt mir doch bekannt vor. Und ja: Wie man sieht hat sich Apple wirklich deutlich mehr Mühe gegeben, das Whitepaper zusammenzuschreiben.
Schon damals habe ich leider keine Antwort bekommen, was uns das nun im Detail zu Systemsicherheit sagen soll.
Und das restriktive Sandboxing machst du an dem Storage-System fest - also dass es Android die Permission "Storage" gibt, mit der du auf geteilten Speicher zugreifen kannst? Oder übersehe ich da gerade wesentliche Punkte?
Nur weil, da hat sich nämlich Android 10 - übrigens sehr zu meinem Misfallen - auch wieder viel geändert (so ein unglaublicher Mist!).
Das "Und es gibt einiges mehr" würde mich im Detail interessieren.
Rein vom Preis der Geräte ausgehend (das günstigste iPhone vs das günstigste Android smartphone), und die minderheiten gruppe in china macht nicht den eindruck sehr reich zu sein, ist die wahrscheinlichkeit, dass die meisten von denen ein android smartphone benutzen, sehr hoch. So gesehen, ist die wahrscheinlichkeit auch sehr hoch, dass die auch über android lücken gehackt und ausspioniert wurden. Da apple solche "recherchen" jedoch nicht nötig hat um sich am markt zu behaupten, wurden da sicher auch keine "untersuchungen" bezüglich android sicherheitslücken durchgeführt bzw. finanziert.
Ist schon witzig, wie sehr google sich um die OS sicherheit des größten konkurrenten sorgt und wie viele ressourcen sie in die recherche stecken, während android quasi ein 2. adobe flash ist.
Ist schon witzig, wie sehr google sich um die OS sicherheit des größten konkurrenten sorgt und wie viele ressourcen sie in die recherche stecken, während android quasi ein 2. adobe flash ist.
T
Tuxgamer42
Gast
owned139 schrieb:
Also mit "einfach" meinst du, man braucht root.
In welchen Fall man (sowohl Android als auch iOS) genau genommen vollen Zugriff auf das Gerät (inklusive auf den kompletten Speicher)...
Ergänzung ()
Clutch04 schrieb:
Ernsthaft...
Da hat ein Großteil endlich gelernt, sich einfach zu freuen, wenn schwere Sicherheitslücken gefunden und behoben werden. Aber Ausnahmen gibts anscheinend immer noch.
Ernsthaft...
Offensichtlich sucht Project Zero auch in Google-Produkten nach Fehlern. Gefunden haben sie rein zahlenmäßig sogar mehr im Android als im iOS.
https://bugs.chromium.org/p/project-zero/issues/list
Zuletzt bearbeitet von einem Moderator:
AYAlf
Commodore
- Registriert
- Apr. 2005
- Beiträge
- 4.314
BTW es dauert nur so lange Sicherheitslücken zu schließen, weil sie direkt eine andere auf machen müssen, um weiter eine bzw. mehrere Backdoors zu haben.
Und die neue Backdoor darf halt nicht so leicht zu finden sein, schon gar nicht von der Konkurrenz.
Schließen der Backdoor - 1 Woche (wahrscheinlich keine Stunde) .. neue finden, die kein anderer findet - mehrere Jahre!
I hate this Game!!!!
Nur gut, dass der normale Apple Konsument, niemals was davon mitbekommt.
Und die neue Backdoor darf halt nicht so leicht zu finden sein, schon gar nicht von der Konkurrenz.
Schließen der Backdoor - 1 Woche (wahrscheinlich keine Stunde) .. neue finden, die kein anderer findet - mehrere Jahre!
I hate this Game!!!!
Nur gut, dass der normale Apple Konsument, niemals was davon mitbekommt.
Les das doch, ich erklär dir doch keine 100 Seiten..Tuxgamer42 schrieb:Tja, habe schon bisschen Schadenfreude.
Apple hatte jetzt ein halbes Jahr Zeit ein - von der Marketingabteilung abgesegnetes - eigenes Statement herauszuhauen. Eigentlich schon bitter, dass es letztendlich Google braucht, dass wir dann doch von solchen Sicherheitslücken erfahren...
Und jetzt gefällt Apple das Google-Statement nicht? Auch wie traurig
Das kommt mir doch bekannt vor. Und ja: Wie man sieht hat sich Apple wirklich deutlich mehr Mühe gegeben, das Whitepaper zusammenzuschreiben.
Schon damals habe ich leider keine Antwort bekommen, was uns das nun im Detail zu Systemsicherheit sagen soll.
Und das restriktive Sandboxing machst du an dem Storage-System fest - also dass es Android die Permission "Storage" gibt, mit der du auf geteilten Speicher zugreifen kannst? Oder übersehe ich da gerade wesentliche Punkte?
Nur weil, da hat sich nämlich Android 10 - übrigens sehr zu meinem Misfallen - auch wieder viel geändert (so ein unglaublicher Mist!).
Das "Und es gibt einiges mehr" würde mich im Detail interessieren.
Kannst ja dann mal gegenüber stellen die punkte, also nicht alsr oder so was , die grundmechanismen haben beide.
Sagt ja auch keiner das ios komplett sicher ist. Wenn dich das Thema interessiert lies auch das mal:
https://www.amazon.ca/Protecting-Mobile-Networks-Devices-Challenges-ebook/dp/B01N7AIANH
Zuletzt bearbeitet:
T
Tuxgamer42
Gast
Garack schrieb:
Fun fact: Das Android Whitepaper erwähnt kein ASLR (was du wohl gemeint hast).
Was letztendlich meine Aussage bestätigt: Das iOS Whitepaper ist einfach ausführlicher, aber das sagt ansonsten nicht wirklich viel aus. Nur weil im Android Enterprise Whitepaper kein ASLR aufgeführt ist, heißt das nicht, dass nichts dergleichen im Android existiert!
Letztendlich auch nicht einmal verwunderlich; Android ist Open Source. Wer sich dafür interessiert, kann jedes noch so kleine Detail einfach nachschauen. iOS bist mehr oder weniger auf solche Dokumente angewießen...
Was uns gleich zum nächsten Punkt bringt:
Garack schrieb:
Erwarte doch auch nicht, dass du mir 100 Seiten erklärst. Sollst mir kurz 3-5 (Beispiel- ?) Stichpunkte geben, was du uns mit diesen zwei Links sagen willst - denn die Ausfürhlichkeit + Seitenanzahl ist wohl langweilig. Das sollte doch nicht länger dauern als deinen letzten Beitrag (inkl. Amazon Link) zu schreiben?
Gut finde ich z.b. Dass ne externe app nie direkt kommunizieren kann, immer über über die systemeigene api gehen muss.Tuxgamer42 schrieb:
Dann die Einschränkungen, z.b. Vermisse ich bei ios nen wlan tool welches mit frequenz kanalbrlegung stärke
usw. in der nähe befindlichen wlans anzeigt. Android kann das, aber apple gewährt auf einige wichtige prozesse einfach mal null Zugriff.
Achso alsr gibs bei Andro Schon lange klar, hab auch nichts gegenteiliges gesagt.
Ist doch jetzt auch egal ob Windows und Android betroffen sind was ProjektZero veröffentlicht hat war ein valider Exploit und Apple lamentiert rum.
Mag sein dass auch Attacken auf andere Plattformen gab. Haben sie vielleicht nicht gefunden. Mag sein dass sie Android nicht so im Fokus haben aber Windows sicher. Und selbst wenn enthebt es Apple nicht von seiner Verantwortung
Mag sein dass auch Attacken auf andere Plattformen gab. Haben sie vielleicht nicht gefunden. Mag sein dass sie Android nicht so im Fokus haben aber Windows sicher. Und selbst wenn enthebt es Apple nicht von seiner Verantwortung
