Hacking Team, WWDC, Mace

Hacking Team - Trojaner für das iPhone

Ein Trojaner für das iPhone mit oder ohne Jailbreak, wie funktioniert das? Aus den veröffentlichten 400 GB Daten des Angriffs auf den italienischen Sicherheitsdienstleister Hacking Team wurde unter anderem von Lookout rekonstruiert wie ein Angriff auf iOS Geräte ablaufen kann.

So war das Hacking Team in Besitz eines Unternehmenszertifikats von Apple, mit dem Apps am AppStore vorbei installiert werden können. Voraussetzung ist natürlich, dass dieses Unternehmenszertifikat auch auf dem Gerät hinterlegt wurde. Daten wurden mithilfe einer Zusatztastatur und einer manipulierten Newsstand App abgegriffen. Das ausspionieren des iOS-Gerätes funktioniert also nur wenn der Angreifer physischen Zugriff auf das Gerät hat und das Unternehmenszertifikat, die Tastatur und die App installieren konnte.

Dem versierten iOS-Benutzer fällt die Manipulation mitunter dadurch auf, dass Zusatztastaturen nicht in Kombination mit einer Bildschirmsperre verwendet werden können, dies verbietet Apple.

MACE und RC4

Angriffe auf SSL sind mittlerweile gang und gebe, er kürzlich veröffentlichte der Sicherheitsforscher Yngve Pettersen seinen MACE-Angriff auf SSL, der sich die unvollständige Überprüfung des MAC im TLS-Packets zu nutzen macht.

Administratoren sollten dringend die Konfiguration und den Patch Stand ihrer Perimeter Systeme überprüfen, da populäre Produkte der Anbieter Juniper, F5 und Cisco betroffen sind. Eine weitere Empfehlung ist, RC4 endgültig nicht mehr zu unterstützen. Hilfreich bei der Überprüfung der eigenen SSL Konfiguration ist neben dem populären SSLLabs Test, auch andere Skripte).

WWDC 2015

Endlich gab es mal wieder einen Apple Livestream zum konsumieren, zumindest wenn man nicht den 5.000 Kartenbesitzern angehörte die sich die Keynote der diesjährigen WWDC im Moscone Center in San Francisco live ansehen konnten.

6-stelliger PIN Code und Zwei-Faktor-Authentifizierung

We seriously don’t want to know [your personal information], um Craig Federighi zu zitieren. In der Keynote wurde mehrfach erwähnt, dass der Schutz der persönlichen Daten des Benutzers, das oberste Ziel Apples ist. Bis jetzt sind außer ein paar Begriffe die auf den Folien aufgetaucht sind nicht viele Einzelheiten bekannt, was Apple hierfür tun möchte. Angekündigt wurde aber, dass iOS 9 nicht mehr nur einen 4-stelligen PIN für die Bildschrimsperre erwartet, sondern einen 6-stelligen PIN Code einfordert. Nach wie vor muss dieser aber auch vom Benutzer aktiviert werden, allen Touch-ID Benutzern sei generell empfohlen statt einer rein numerischen PIN ein komplexes Passwort mit Sonderzeichen zu verwenden.

Rein rechnerisch erhöht sich durch eine 6-stellige PIN zumindest die Zeit, die es benötigt die PIN per Brute Force Attacke zu erraten. Von ungefähr 12 Stunden auf über 117 Stunden, abhängig natürlich von der Zufälligkeit der verwendeten Zahlenkombination. Als kleine Anmerkung am Rande, ein Brute Force Angriff ist nur möglich wenn hierzu eine (bekannte oder unbekannte) Schwachstelle ausgenutzt wird, oder die Option des automatischen löschen des Gerätes nach 10 falschen Eingaben vom Benutzer nicht aktiviert wurde.

Auch wird Apple mit iOS 9 und OS X El Capitan die Zwei-Faktor-Authentifizierung stärker in den Vordergrund rücken. Seit März 2013 ist die Zwei-Faktor-Authentifizierung für diverse Apple Dienste verfügbar, zum Beispiel für den Find My iPhone Dienst. Wie genau die Umsetzung aussieht ist noch nicht bekannt, wünschenswert wäre eine Benutzerfreundliche Implementierung, so dass mehr Benutzer einen zweiten Faktor für die Authentifizierung verwenden.

VPN API, SSL updates, HSTS für Apps, Certificate Transparency, Code Signing

Weitere spannende Ankündigungen in Bezug auf ein mehr an Sicherheit findet man wenn man im Internet stöbert.

So will Apple anscheinend auch Apps zwingen nur noch HTTPS-Verbindungen zu verwenden. Die Application Transport Security (ATS) genannte Technik unterstützt Entwickler bei der Verwendung von sicheren Verbindungen. Hierzu muss der Entwickler nur noch die Domains mit denen die App kommunizieren soll definieren, und ATS verhindert die versehentliche Preisgabe von Daten. Auch unter OSX 10.11 El Capitan ist es nur noch temporär möglich, Apps mit HTTP-Verbindungen in den Store einzureichen.

Content Blocking Safari Extension heißt eine weitere Neuerung für Safari unter iOS 9. So können Entwickler zukünftig Erweiterungen für Safari bereitstellen, die Cookies, Bilder, Resourcen Pop-Ups oder andere Inhalte blockieren können. Es sollte also nur eine Frage der Zeit sein, bis die ersten Werbeblocker im AppStore auftauchen.

Eine Beta von iOS 9 steht ab sofort für registrierte Entwickler zur Verfügung. Es sollte jedoch - aufgrund des frühen Entwicklungsstatus - nur auf einem Zweitgerät installiert werden.

Dokumentation

Für den technisch interessierten Leser sei noch auf die WWDC Session Vidoes Security and Your Apps und Privacy and Your App verwiesen. Sowie die Artikel von Frederic Jacobs und der NYTimes hingewiesen.

2015

2014

2013

2012