Hintertüren

Von Sommerloch ist noch keine Spur bei der Vielzahl der Meldungen die im Moment über die Newsticker laufen. Im Folgenden ein Auszug der wichtigsten in Bezug auf Mobile Sicherheit.

Das Merkelphone begleitet uns bereits seit September letzten Jahres mit diversen Meldungen und Neuigkeiten. Im Juli wurde nun bekannt, dass der deutsche Kryptohandy-Hersteller SecuSmart von Blackberry aufgekauft wurde. Obwohl der Vorstand ankündigt, dass dies keine Auswirkung auf die Sicherheit der Geräte hat, bleibt das ungute Gefühl und die Frage ob und wie weit man der Verschlüsselung der Handys noch trauen kann.

In die gleiche Kerbe schlägt die Meldung, dass der Bundestag eine eigene Basisstation bekommen soll, um zukünftigen Spionageangriffen auf die Handykommunikation der Politiker zu erschweren. Bereits im Frühjahr soll das BSI die Basisstationen einsatzbereit haben.

Backdoor

Im Juli deckte der auf iOS spezialisierte Sicherheitsforscher Jonathan Zdziarski angebliche Hintertüren in iOS auf, über die ein einfaches auslesen von Nutzerdaten möglich ist. Voraussetzung ist ein entsperrtes Gerät, dass mit einem Mac verbunden ist mit dem auch das sog. Pairing erlaubt ist. iOS erfragt beim erstmaligen anstecken an einen unbekannten Mac nach ob es ihm vertrauen soll, erst dann ist eine Datensynchronisation möglich. Einzige Abhilfe ist das Pairing über ein MDM-Profil zu deaktivieren, im Supervised Mode kann das Gerät nur mit dem Mac gepaired werden von dem es das Supvervised Profile erhalten hat. Apple hat in der Zwischenzeit die Existenz jeglicher Hintertüren dementiert, und stellt fest dass es sich bei den aufgezeigten Diensten nur um Diagnosedienste für Entwickler handelt. Ein Hersteller von Forensik Software für iOS bedient sich bereits dieser versteckter Diagnosedienste.

BlackHat Vorträge

Auf der diesjährigen BlackHat gab es zum Thema iOS Sicherheit wieder interessante Vorträge, unter anderem Exploiting unpatched iOS vulnerabilities for fun and profit oder Cellular exploitation on a global scale: The rise and fall of the control protocol. Der erste Vortrag behandelt den Angriff auf die iOS Sandbox und erklärt die Funktionsweise des aktuellen Jailbreaks. Spannend ist aber auch der zweite Vortrag, der Schwachstellen in einer zentralen Verwaltungssoftware für Handys bei Providern berichtet. Theoretisch sind dadurch über 2.2 Milliarden Handys verwundbar für Manipulationen.

2014

2013

2012