Archiv

Artikel Tagged ‘Crapple’

Apple, verschluesselte Devices und die Behoerden

crapple_cryptAktuelle mobile Geraete sind in der Masse eigentlich immer in der Lage von Haus aus verschluesselt zu werden, etwas was vielen Strafverfolgungsbehoerden ein Dorn im Auge sein duerfte, da die Verschluesselung beispielsweise von Google oder Apple gut implementiert werden und fuer die Behoerden kaum eine Moeglichkeit besteht diese zu knacken.
Hierfuer sind diverse Umstaende erforderlich um dies moeglich zu machen, ein Beispiel waeren Cold Boot Attacken, hierfuer muss das Device aber eingeschalten sein und die Behoerden schneller sein als der (ehemalige) Besitzer des Devices und einem moeglichen Remote Wipe.

So laufen die Behoerden nun bei Google und Apple regelmaessig die Tueren ein mit der Bitte die Devices doch bitte zu entschluesseln.
Neben einer eigens eingerichteten Queue fuer derartige Anfragen ist Apple nachweislich in der Lage die eigene Verschluesselung aufzubrechen.
Beweise hierfuer liegen in diversen Faellen vor, ein aktueller Fall waere ein verschluesseltes IPhone was im Besitz eines vermeindlichen Drogendealers war, die ATF (Federal Bureau of Alcohol, Tobacco, Firearms and Explosives) beschlagnahmte dessen Geraet und trat an Apple heran, da das Geraet verschluesselt ist. Mehr…

Crapple behauptet speichern der Ortungsdaten sei ein Bug

27. April 2011 Keine Kommentare

Es wird ja nun schon seit einigen Tagen heiss diskutiert und aufgekocht in allen Medien, daher wollte ich mich nicht zu dem Thema aeussern, aber was ich nun lesen musste… da fasst man sich mit allen Gliedmassen an den Kopf.
Apple speichert Ortungsdaten, auch als Bewegungsprofil bekannt und parkt diese auf dem heimischen PC wenn an diesem das Geraet angedockt wird.
Die Speicherung erfolgt sowohl auf dem PC als auch auf dem Mobile natuerlich unverschluesselt, wer haette hier anderes erwartet. Die erste Aussage die hier von Apple getroffen wurde war, dass es sich hierbei natuerlich nicht um Bewegungsprofile handeln wuerde, wer kann sowas auch nur denken, natuerlich handelt es sich hierbei nur um Positionsdaten von WLAN-Routern und Mobilfunkzellen.
Weiterhin sollen die Daten nur Apple zur Verfuegung stehen und sobald die Ortungsdienste abgeschalten werden, wird auch die Datenbank nicht mehr weitergeschrieben, dies entpuppte sich jedoch als, ich nenne es Luege. Die Daten wurden weiterhin geschrieben, Zugriff darauf nehmen konnte aufgrund von fehlender Verschluesselung nicht nur Apple und in den USA wird dies von Strafverfolgungsbehoerden auch aktiv ausgenutzt. Mehr…

Apple, der iPod und ich… *update*

16. Dezember 2010 Keine Kommentare

Ja nun kann ich ganz mitreden, wie man weiss ja sicherlich kein Apple Fan und kann diesen ganzen Hype um den Muell der dort gebaut wird nicht verstehen, sicherlich hatte Apple damals als PPC (Bsp. fuer Videoschnitt und Grafikbearbeitung) seine Daseinsberechtigung doch mitlerweile mit Intel Inside ja wohl kaum noch, aber nun zum Thema, es ist Weihnachten und t4c hat ein Geschenk erreicht, ein tolles Geraet aus dem Hause Apple, ich habe nun einen iPod Shuffle.
Grosse Freude… Mehr…

Apples neuer Diebstahlschutz ein Desaster auch fuer Jailbreaker

26. August 2010 2 Kommentare

Apple hat ein neues Patent angemeldet und wenn man sich das ganze einmal zu Gemuete fuehrt kann einem wirklich nur noch schlecht werden. Unter dem Tarnmantel man wolle Kunden vor Diebstahl schuetzen wird die Moeglichkeit beschrieben, wie ein potentiell gestohlenes Handy zur Uberwanze wird, denn das Geraet soll einige Moeglichkeiten der Ueberwachung bekommen.
Es soll moeglich werden, ohne Zutun Fotos zu erstellen, Geotagging Daten zu ermitteln, die Fortbewegungsgeschwindigkeit und sogar die Stimme eines „Diebes“ aufnehmen und an einen Server zu schicken.
Natuerlich werden die Fotos ohne Geraeusch oder Blitz geschossen und nachdem diese uebermittelt worden auch noch vom Geraet geloescht um so nahezu spurlos zu agieren. Die uebermittelten Daten werden danach ueber sichere Kanaele an den eigentlichen Besitzer des IPhones geschickt. SMS, Voip etc sollen hier die Kanaele sein und wer angesichts dieses Desasters immer noch meint: Hey ist doch eine coole Sache dem soll nun der finale Schlag verpasst werden:
Apple schreibt im Patentantrag ausdruecklich das dieses Verfahren nicht nur gegen mutmassliche Diebe genutzt werden soll, sondern auch gegen Jailbreaker, welche hier erneut vom Obstkonzern kriminalisiert werden und das nun aufs Aeusserste.

Langsam ist wirklich Schluss! So meine Meinung!

Crapplejailbreak im vorbeisurfen

3. August 2010 Keine Kommentare

In aller Munde ist seit Sonntag wohl die Webseite Jailbreakme.com, was sich dahinter verbirgt?
Vorerst die Moeglichkeit sein Crapple Device beim Surfen auf die Seite ganz einfach zu Jailbreaken, was in den USA nun ja auch voellig legal ist.
Ein Click auf den Slider im Iphonesafaribrowser oder eben einem anderen Device, ermoeglicht es einem unbedarften Steve Jobs Juenger nun also das Geraet ohne grosses zutun zu Jailbreaken und endlich aus dem Appleknast befreit zu sein. Und alle so Yeah!
Soweit so gut, alles toll, alles bunt, alle haben sich lieb…
… doch ist das wirklich so? Fuer mich heisst die Seite einfach nur noch eins, Surfen mit dem IPad oder IPhone ist aktuell nicht moeglich es sei es ist einem egal wem die Daten auf dem Geraet gehoeren oder wer noch alles mitlesen und senden darf mit dem Geraet, denn es ist der dunklen Seite der Macht jederzeit moeglich die Webseite nachzubauen und eigenen Schadcode zu basteln um so Crappledevices im vorbeisurfen zu uebernehmen.
Wirklich nett die Geschichte, basierend ist der Hack fuer alle die es nicht wissen, via Schwachstelle in der Verarbeitung von PDF Dateien in iOS.

Apples iOS nun mit Standortueberwachung

23. Juni 2010 Keine Kommentare

Ja da staunt der Crapplefreund nicht schlecht, iOS 4 ist draussen und wer sich die Muehe macht einmal die Nutzungsbedingungen zu lesen der wird grosse Augen bekommen: Apple will Bewegungsdaten nicht nur sammeln nein auch will Apple diese auf Nachfragen Drittanbietern zur Verfuegung stellen und schon ist jeder iPad und iPhone User mit der neuen Software mit Standortpassender Werbung erfassbar und Bewegungsprofile lassen sich problemlos nachvollziehen und erstellen.
Sehr schoen, wie bei Apple Standard kann der Nutzer hier natuerlich nicht wiedersprechen, was bei anderen Diensten wie der boese boesen Datenkrake Google problemlos moeglich ist. Angeblich sind die Daten natuerlich anonymisiert die Apple dort sammelt, aber ich moechte nicht ohne gefragt zu werden ueberwacht werden.
Auch bekannt ist das natuerlich kein Fanboy hier schreit, nein iOS4 ist einfach nur genial wie alles von Apple.
Where do you want to go today? Ehemals Slogan von Microsoft nun fuer Apple passend: Ich weiss wo Du diesen Sommer geschlafen hast…

UPDATE: Gerade hoere ich das man dieses Verhalten ueber http://oo.apple.com abschalten kann. Was da dran ist kann ich leider nicht sagen.

How To Exploit OSX

Offensive Security hat einen sehr schoenen Guide zum Thema OSX Exploits schreiben zur Verfuegung gestellt. In diesem wird schrittweise gezeigt, wie man mittels des Tools aus dem Xcode Paket von OSX, OllyDBG und Metasploit einem ueberlaufenden Puffer (Buffer Overflow) auf die Schliche kommt und diese gezielt ausnutzt. Es wird ein Exploit fuer Code Execution gebaut und gezeigt wie Register anzupassen sind um die passenden Speicheradressen zu ueberschreiben, auch das Umgehen der Lib Randomisation welche angeblich Schutz bieten soll wird im Paper beschrieben.

(Quelle: Evocam remote buffer overflow on osx)

Google blaest zum Codec Angriff

21. Mai 2010 1 Kommentar

Jetzt geht es Adobes Flash-Videos und Apples Lieblings-Video-Codec H.264 an den Kragen, so zumindest der Plan von Google und wieder ein Schritt in die richtige Richtung: Freie Software fuer einen freien Markt.
Google veroeffentlichte auf der Entwicklerkonferenz I/O den Videocodec VP8 als OpenSourceproject. Die Firma On2 wurde kuerzlich von Google uebernommen und das ist ein wichtiger Schritt, so auch die Chance fuer Firefox, eigentlich ja ein Konkurrent von Google wenn man es so moechte (Chrome/Chromium) die Chance den Lizenzgebuehren die H264 fordern koennte zu entgehen. Die Mozilla Foundation hatte ohnehin schon angekuendigt diesen Codec aufgrund von fehlender Offenheit und den Gebuehren nicht im Browser einzubauen.
Weiterhin will Google fuer den ebenfalls lizenzfreien Audiocodec Ogg ein neues, für Internetbelange optimiertes Videoformat WebM anbieten. Fuer WebM fallen keine Lizenzgebuehren an, ganz im Gegensatz zu Apples und Adobes patentbewehrtem Lieblingsformat H.264 und klar das geht an den beiden Gebruedern Apple und Adobe nicht vorbei und diese kuendigten als Resonanz auf Googles Plaene eine engere Zusammenarbeit hat, na Herr Jobs? Doch noch Flash fuer die Crapple Produkte.

Microsoft, Opera und Mozilla haben bereits ihre WebM Support zugesagt. Bei YouTube werden ab sofort alle Videos im WebM-Format gespeichert.

Google++ die boese Datenkrake…
… oder doch der Retter von OpenSource? Fuer mich klar letzteres.

Datenleak im IPhone? *update*

17. Mai 2010 4 Kommentare

Gerade habe ich auf eine Mailingliste einen Artikel gelesen in dem ein User ein Szenario beschreibt, welches, falls es wirklich so sein sollte ein grandioses Datenproblem mit dem IPhone darstellt. Der User Bernd Marienfeldt (Information Security Officer LINX) schreibt:

Ich habe gerade auf Ubuntu Lucid Lynx (10.04 LTS) geupgraded und wunderte mich u eber das Verhalten des iPhone 3GS (3.1.3 – 7E18) beim mounten:

Das IPhone abgeschalten und es mit dem Lucid Lynx PC via USB verbunden, danach das Telefon eingeschalten und es wird automatisch gemounted ohne irgendeine Sicherheitsabfrage (PIN) und das Telefon erlaubte vollen Lese/Schreibzugriff auf „purchases“, DCIM, Downloads, Fotos, Aufnahmen etc.

Interessant waere ein Versuch, leider habe ich kein IPhone, wenn dies jedoch wirklich so moeglich ist waere das in meinen Augen sowohl typisch fuer Crapple als auch ein nettes Datenleck und bitte erspart mir Kommentare wie: Ich kann mir auf die SD Card aus einem Handy klauen… etc. denn gerade die Purchasefunktion ist bitter und auch die Behauptung von Crapple, hier wuerden Daten verschluesselt abgelegt, denn was bringt eine Verschluesselung wenn sie derart einfach auszuhebeln ist?

<UPDATE>
Heise brauchte etwas laenger aber nun auch ein Bericht auf Heise Security welcher das Problem belegt und auch erwaehnt das hierbei die AES Verschluesslung des IPhones ausgehebelt wird.

(Quelle: Heise Oldticker)
</UPDATE>

Wiimote und Android

Der Hacker „pikipirs“ hat eine Software veroeffentlicht mit der es moeglich ist, seine Wmii-Mote an sein Androiddevice zu koppeln und somit unter anderem Spiele ueber diese zu steuern.
Das Tool ist noch in der Betaphase aber ein erster Test zeigte, dass es relativ gut laeuft und wieder einmal zeigt wieviel Spass man mit seinem Android doch haben kann und das ganz ohne grosse Jailbreakgeschichten und Angst im Nacken, ein neues Update koennte einem wieder jeglichen Spass nehmen.

Wiimote Controller 0.1 Youtube Video

Zum Download ist WiimoteController im Android Market zu finden, der Einfachheit halber hier ein QR Code zum scannen:
wiimote qr code

(Quelle: xda dev)