iCloud- und inApp-Browser-Sicherheitsprobleme & Bash-Bug

SicherheitKleiner Rundumschlag in Punkto Sicherheitsthemen. Apple war lange vor dem iCloud-Hack über Sicherheitsprobleme informiert. Entwickler warnen von Browsern in iOS-Apps und Linux hat ein Problem mit der Bash-Shell, was die Dimensionen von Heartbleed annehmen könnte.


Anzeige

Linux und der Bash-Bug

Linux hat ein fettes Sicherheitsproblem: In der Bash-Shell wurde eine von den Entwicklern als kritisch eingestufte Sicherheitslücke entdeckt, die so gut wie jedes System kompromittierbar macht. Bei heise.de findet sich der Artikel Standard-Unix-Shell Bash erlaubt das Ausführen von Schadcode. Die Lücke ermöglicht u.U. die Ausführung von Schadcode per Remote-Zugriff. Bedenkt man, wie viele Linux-Server weltweit werkeln, ist das ein ähnlicher Gau wie bei Heartbleed – wie in diesem Artikel ausgeführt wird.

Update: Natürlich sind die Apfelfreunde mit Mac OS X auch betroffen und hier wird über erste Angriffe berichtet. Dieser Blog-Beitrag berichtet, dass tausende Systeme per Internet über Port 80 angreifbar sind. Wer es auf deutsch und ganz gut erklärt nachlesen will, findet in diesem t3n-Beitrag sowie hier bei Spiegel Online Lesefutter.

iOS: Entwickler warnt vor In-App-Browsern

Es ist ja komfortabel: Du holst dir eine iOS-App und in der App lassen sich HTML-Code und Webseiten anzeigen. Einen leichten Klemmer hatte ich dabei schon immer, im Artikel Sicherheitslücke in iOS-Apps ermöglicht ungewollte Telefonanrufe hatte ich auf die Implikationen hingewiesen. Zudem war mir nie ganz klar, ob diese Apps nicht meine Tastatureingaben in Webseiten mitschneiden können. Jetzt warnt ein Entwickler auf dieser Seite vor Apps mit In-App-Browsern. In einem Video zeigt er ein proof-of-concept, wie solche Apps Eingaben mitschneiden. Umfasst natürlich auch Anmeldungen an Webseiten und mehr.

Apple kannte Sicherheitsprobleme lange vor den iCloud-Hacks

Hier im Blog hatte ich ja mehrfach über Sicherheitsprobleme im Umfeld der iCloud berichtet. Mal wurden Apple iOS-Geräte über Find My Phone mit Erpressungs-Sperrcodes beglückt, mal wurden private Photos aus gehackten iCloud-Konten veröffentlicht. Hier ein paar Artikel aus dem Blog.

Phishing-Angriff auf Apple-Nutzer
Wie sicher sind deine Daten in der iCloud?
Apple sagt: iCloud ist nicht kompromittiert
iCloud doch nicht sicher? Tool soll Backups laden können
iCloud-Hack–Einzelheiten werden bekannt
Apple-Statement zum iCloud-Hack

Ihr wollt noch was “on top”? Könnt ihr haben! Apple lässt ja häufig verlautbaren, dass die iCloud sicher sei und dass man viel in Datenschutz mache. Kann man glauben – das Gefühl, dass da was im Dunkeln schlummert, bleibt bei mir jedenfalls latent bestehen. Jetzt schreibt dailidot.com in diesem Artikel, dass Apple Sicherheitsprobleme lange von den ersten iCloud-Hacks bekannt sein mussten. Man dokumentiert den E-Mail-Wechsel eines Entwicklers mit Apple, der den Konzept ca. ein halbes Jahr (März 2014) vor den iCloud-Hacks auf Sicherheitslücken in iCloud hingewiesen habe. Der Entwickler informiert Apple, dass er erfolgreich ein iCloud-Sicherheitsfeature umgehen konnte. Reaktion von Apple: erst einmal keine – später hat Apple die Cross-Site-Scripting-Lücke von Ibrahim BALIC in einem Bug-Report bestätigt – aber wohl nicht gefixt.


Anzeige

Dieser Beitrag wurde unter iOS, Linux, Sicherheit abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu iCloud- und inApp-Browser-Sicherheitsprobleme & Bash-Bug


  1. Anzeige
  2. Günter Born sagt:

    Nachtrag: Noch ein kleiner Verweis auf diesen heise.de-Artikel. Sowohl die Chrome- als auch die Firefox-Entwickler haben mit einem Update eine Sicherheitslücke in den Browsern geschlossen, über die Schadcode eine sichere https-Vrebindung vortäuschen konnte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.