Archiv

Artikel Tagged ‘iphone’

Crapple behauptet speichern der Ortungsdaten sei ein Bug

27. April 2011 Keine Kommentare

Es wird ja nun schon seit einigen Tagen heiss diskutiert und aufgekocht in allen Medien, daher wollte ich mich nicht zu dem Thema aeussern, aber was ich nun lesen musste… da fasst man sich mit allen Gliedmassen an den Kopf.
Apple speichert Ortungsdaten, auch als Bewegungsprofil bekannt und parkt diese auf dem heimischen PC wenn an diesem das Geraet angedockt wird.
Die Speicherung erfolgt sowohl auf dem PC als auch auf dem Mobile natuerlich unverschluesselt, wer haette hier anderes erwartet. Die erste Aussage die hier von Apple getroffen wurde war, dass es sich hierbei natuerlich nicht um Bewegungsprofile handeln wuerde, wer kann sowas auch nur denken, natuerlich handelt es sich hierbei nur um Positionsdaten von WLAN-Routern und Mobilfunkzellen.
Weiterhin sollen die Daten nur Apple zur Verfuegung stehen und sobald die Ortungsdienste abgeschalten werden, wird auch die Datenbank nicht mehr weitergeschrieben, dies entpuppte sich jedoch als, ich nenne es Luege. Die Daten wurden weiterhin geschrieben, Zugriff darauf nehmen konnte aufgrund von fehlender Verschluesselung nicht nur Apple und in den USA wird dies von Strafverfolgungsbehoerden auch aktiv ausgenutzt. Mehr…

pwn2own 2011 – Die Spiele haben begonnen

11. März 2011 Keine Kommentare

Wieder einmal pwn2own von Canceswest und die Spiele begannen bereits gestern und wie so oft geht es dem ersten Tag den Browsern an den Kragen und es standen Safari, Internet Explorer und Chrome zur Pwnage bereit, wieso Firefox hier aussen vorgelassen wurde ist mir voellig unbekannt und ein Stueck weit auch ein Raetsel. Durch Losentscheid wurde Safari zum ersten Ziel gekuehrt und wie jedes Jahr war es der Browser der am schnellsten ein gefundenes Opfer fuer die Sicherheitsexperten war, in diesem Falle das Team des Dienstleisters VUPEN. Mehr…

Google nutzt Sicherheitsfeature „Remote Application Removal“

25. Juni 2010 Keine Kommentare

Zum ersten Mal machte Google von seiner Sicherheitsfunktion „Remote Application Removal“ gebrauch mit der es moeglich ist remote auf Androidgeraeten Software zu deinstallieren, der User bekommt eine Nachricht ueber dieses Vorgehen und nun werden sicherlich viele Leute sich fragen, wie kommt es zu einer derartigen Loeschung und wie weit darf Google gehen?
Konkret handelt es sich bei der geloeschten Applikationen um zwei Anwendungen, welche von TippingPoint in Umlauf gebracht worden ist um aufzuzeigen wie schnell sich eine boesartige Anwendung via Android Market und auf gejailbreakten iPhones verbreiten koennte.
Die Forscher hatten die Anwendungen zwar bereits aus dem Android Market entfernt, offenbar hatten aber immer noch einige Anwender die Apps installiert, weshalb sich Google nun veranlasst sah, diese zu loeschen, auch wenn die Apps keinen Schaden anrichten konnten oder angerichtet haben, da sie hierfuer nicht entwickelt wurden.
Google die Option der Fernloeschung implementiert um echte Malware sicher und effektiv entfernen zu koennen, hofft jedoch nie von diese Massnahme im grossen Stil gebrauch machen zu muessen, jedoch ist Google nicht die einzige Institution die einen deratigen Schutzmechanismus entwickelt hat, Beispielsweise beim Amazon Kindle wurden bereits letztes Jahr die beiden eBooks „1984“ und „Animal Farm“ des britischen Schriftstellers George Orwell geloescht, da es hier zu Lizenz rechtlichen Problemen kam.
Android bringt ein ausgefeiltes Rechtesystem mit, mit dem sich festlegen laesst, welche Anwendung auf welche Funktionen und Ressourcen zugreifen darf. Bei der Installation muss eine Anwendung nachfragen, ob sie etwa auf das GPS-Modul, den Kalender zugreifen oder SMS verschicken darf, jedoch ihr wisst selbst wie oft hier einfach weitergeklickt wird ohne wirklich von der Funktion gebrauch zu machen.

(Quelle: Androcom.net)

Apples iOS nun mit Standortueberwachung

23. Juni 2010 Keine Kommentare

Ja da staunt der Crapplefreund nicht schlecht, iOS 4 ist draussen und wer sich die Muehe macht einmal die Nutzungsbedingungen zu lesen der wird grosse Augen bekommen: Apple will Bewegungsdaten nicht nur sammeln nein auch will Apple diese auf Nachfragen Drittanbietern zur Verfuegung stellen und schon ist jeder iPad und iPhone User mit der neuen Software mit Standortpassender Werbung erfassbar und Bewegungsprofile lassen sich problemlos nachvollziehen und erstellen.
Sehr schoen, wie bei Apple Standard kann der Nutzer hier natuerlich nicht wiedersprechen, was bei anderen Diensten wie der boese boesen Datenkrake Google problemlos moeglich ist. Angeblich sind die Daten natuerlich anonymisiert die Apple dort sammelt, aber ich moechte nicht ohne gefragt zu werden ueberwacht werden.
Auch bekannt ist das natuerlich kein Fanboy hier schreit, nein iOS4 ist einfach nur genial wie alles von Apple.
Where do you want to go today? Ehemals Slogan von Microsoft nun fuer Apple passend: Ich weiss wo Du diesen Sommer geschlafen hast…

UPDATE: Gerade hoere ich das man dieses Verhalten ueber http://oo.apple.com abschalten kann. Was da dran ist kann ich leider nicht sagen.

Erste Klage gegen Googles WLan Scanning

Seit Freitag ja wieder im Munde aller Google Basher, der boese Konzern der all unsere Daten sammelt hatte ja mit seinen Streetview Cars auch WLan Netze gescanned und mit SSID gelogged um hier bessere Standortbestimmungen durchzufuehren, darueber hatte ich bereits geblogged.
Nun hat das Unternehmen am Freitag eingeraeumt auch Bruchteile von unverschluesseltem Verkehr mitgeschnitten zu haben, Google sagt hier liege ein Softwarefehler vor, der so nicht haette sein duerfen und nun werden die Boo Rufe immer lauter, wie kann Google nur?
Eine erste Anzeige gegen Goolgle startet der Jurist Jens Ferner aus Alsdorf bei Aachen, dieser hat Strafanzeige beim Gericht in Hamburg gestellt, klar ein gefundenes Fresse, schoene Publicity, das kann ein Refrendar natuerlich gut gebrauchen um sich zu pushen.
Was ich mich nun wirklich Frage ist, wo liegt das Problem?
Rein technisch wurden eh nur Bruchstuecke von Informationen gelogged oder schreibe ich mal „mitgeschnueffelt“ da der Funkscanner 5 Mal pro Sekunde den Empfangskanal wechsle und weiterhin handelte es sich hierbei um offene WLans.
Wenn ich eine Postkarte schreibe, kann ich mich auch nicht bei der Post beschweren, da der Postbote diese gelesen hat, oder zumindest der Sortierer beim einsortieren ein einzelnes Wort gelesen hat, hierfuer gibt es Briefe und in der IT Verschluesselung.
Weiterhin hat Google nichts getan was nicht tagtaeglich ein jedes IPhone oder Android Geraet tuen kann, die boesen Dinger loggen sich sogar selbstaendig in freie WLans ein.
Ich waere nun fuer eine Massenklage gegen IPhone Nutzer mit aktiviertem WLan und Autologin, ich bekomme von derartigen Smartphoneusern am Tag im Schnitt 50 auf mein offenes WLan und 2-3 pro Tag nutzen dieses dann sogar noch.

Datenleak im IPhone? *update*

17. Mai 2010 4 Kommentare

Gerade habe ich auf eine Mailingliste einen Artikel gelesen in dem ein User ein Szenario beschreibt, welches, falls es wirklich so sein sollte ein grandioses Datenproblem mit dem IPhone darstellt. Der User Bernd Marienfeldt (Information Security Officer LINX) schreibt:

Ich habe gerade auf Ubuntu Lucid Lynx (10.04 LTS) geupgraded und wunderte mich u eber das Verhalten des iPhone 3GS (3.1.3 – 7E18) beim mounten:

Das IPhone abgeschalten und es mit dem Lucid Lynx PC via USB verbunden, danach das Telefon eingeschalten und es wird automatisch gemounted ohne irgendeine Sicherheitsabfrage (PIN) und das Telefon erlaubte vollen Lese/Schreibzugriff auf „purchases“, DCIM, Downloads, Fotos, Aufnahmen etc.

Interessant waere ein Versuch, leider habe ich kein IPhone, wenn dies jedoch wirklich so moeglich ist waere das in meinen Augen sowohl typisch fuer Crapple als auch ein nettes Datenleck und bitte erspart mir Kommentare wie: Ich kann mir auf die SD Card aus einem Handy klauen… etc. denn gerade die Purchasefunktion ist bitter und auch die Behauptung von Crapple, hier wuerden Daten verschluesselt abgelegt, denn was bringt eine Verschluesselung wenn sie derart einfach auszuhebeln ist?

<UPDATE>
Heise brauchte etwas laenger aber nun auch ein Bericht auf Heise Security welcher das Problem belegt und auch erwaehnt das hierbei die AES Verschluesslung des IPhones ausgehebelt wird.

(Quelle: Heise Oldticker)
</UPDATE>

Android zieht am IPhone vorbei *update*

Das sind doch schoene Nachrichten, eine Analyse der amerikanischen NPD-Group (ein Marktforschungsunternehmen) fuehrt die meistverkauften Smartphones auf, hier liegt Blackberry ganz vorne mit einem Marktanteil von 36 Prozent auf dem 2. Platz wuerde man nun vielleich Apple erwarten, aber die Zeiten sind vorbei.
Auf dem zweiten Platz liegen die Mobiles mit Googles Android und halten hier die Stellung mit 28 Prozent und verdraengen so das IPhone welches auf 21 kommt.
NPD-Chefanalyst Ross Rubin führte das gute Abschneiden von Android auf die Telko Verizon und seine Marketingstrategien zurueck. Generell mag diese Ueberlegung durchaus Sinn machen, jedoch denke ich auch das viele Nutzer erkannt haben, das es nicht unbedingt ein 800 Euro Geraet sein muss in einer tollen Schale und einem hart reglementierten Markt und reglementierten Moeglichkeiten, hier bietet Android einiges mehr. Der Markt ist offen so auch die Software, wer sich spielen moechte kann dies problemlos tun, Apple hingegen sieht das nicht gerne.
Wieso Blackberry jedoch diesen Erfolg feiern kann weiss ich nicht, vor allem wurden aus der Studie Firmenhandies ausgeschlossen.

Update: Danke an stkn an dieser Stelle, von diesem habe ich einen weiteren interessanten Bericht bekommen: Android outsells iPhone in the US

Android auf dem iPhone

22. April 2010 Keine Kommentare

Still und leise arbeitete der Hacker planetbeing daran eine Verwendung fuer versehentlich gekaufte iPhones zu bauen und nun sind die ersten Releases seiner Arbeit verfuegbar und die ersten Ports enstanden welche es auf dem iPhone ermoeglichen Android laufen zu lassen.
Noch funktionieren 3G/GS nicht, aber 3G sollte keine grosse Huerde darstellen, am 3GS muesste man noch arbeiten schreibt der Hacker.
Eine grandiose Entwicklung die sich hier getan hat, denn so schnell laesst sich faules Obst ja nicht zu einem Droid umbauen, Jailbreak ist ja nur eine kleine Geschichte im Gegensatz zu diesem Port.
Bleibt fuer die iPhone geplagten nur zu warten, wann auch die 3G/3GS Modelle mit Android versorgt werden koennen.

idroid-release-0.1.tar.bz ghcif.de Mirror

(Quelle: Android auf dem iPhone)

Rev 0.1: Danke ph0 fuer den Linkfix
Rev 0.2: Mirror hinzugefuegt

KategorienAndroid, Crapple Tags: , , ,

pwn2own owned einmal mehr, Chrome bleibt standhaft

25. März 2010 Keine Kommentare

Wie schon in den Jahren zuvor ist Pwn2Own auf der CanSecWest wieder ein schoenes Spektakel und es gibt auch schon wieder die ersten Opfer und wen wundert es das natuerlich ganz vorne wieder Apple Produkte lagen, leider ist mir nicht bekannt ob diese wie erwartet auch als erste gefallen sind.
Gehackt wurden Safari, IE7, Firefox und auch das Apple IPhone ist den Hacker unterlegen und auf allen Systemen konnte Code eingeschleust und ausgefuehrt werden.
Pwn2own-Veteran Charlie Miller bekommt erneut ein MacBook Pro ein, indem er eine seiner gesammelten 0day-Lücken in Apples Safari opferte, er scheint hier noch ein paar mehr auf Lager zu haben.
Das IPhone wurde von Iozzo und Weinmann via praeperierter Webseite dazu gebracht seine SMS Datenbank auszugeben und auch hier wurde Code eingeschleust und an Apples Sicherheitsfeatures vorbeigeschleust.
Peter Vreugdenhil gelang es, den Internet Explorer 8 auf Windows 7 zu hacken, an den Features ASLR und DEP vorbei.

Schoen zu hoeren das niemand sich an Chrome gewagt hat, wobei gewagt hat sicherlich der falsch Ausdruck ist, hier konnten wohl keine Luecken gefunden werden in der Vorbereitung und daher wurde Chrome in Ruhe gelassen.

Die Show geht nun weiter mit gelockerten Regeln und wir koennen immer noch gespannt sein was hier passiert.

(Quelle: CanSecWest)

pwn2own Runde 4

17. Februar 2010 Keine Kommentare

TippingPoint Zero Day Initiative kuendigt die 4. Runde des pwn2own Contests an, wie auch in den vergangenen Jahren findet der Contest auf der CanSecWest Security Conference, welche in Vancouver abgehalten wird, statt.
Beginn der Veranstaltung ist der 24/03/2010.

Erneut werden Hacker dazu aufgefordert Sicherheitsluecken in diversen Produkten zu finden und bei einem erfolgreichen Hack, welcher zur Ausfuehrung von fremden Code ohne oder nur mit minimaler Userinteraktion fuehrt, mit Preisgeldern von gesamt 100.000 USD belohnt.
Die Regeln sind recht einfach, dem Hack muss ein Zero Day Exploit zu Grunde liegen, Code ausfuehren, der schnellste Hacker gewinnt.
Auch dieses Jahr wieder werden die 2 Haupttechnologien Browser und Smartphones sein.
So werden am ersten Tag Internet Explorer, Chrome, Firefox auf Windows7 sowie Safari auf dem Mac als „Opfer“ zur Verfuegung stehen.
Die 2. Runde geht an nicht gehackte Browser und diese werden dann auf einem Windos Vista zur Verfuegung stehen.
Weiter geht es mit den Mobiltelefonen Apple iPhone 3GS, RIM Blackberry Bold 9700, Nokia Geraet mit Symbian S60 (evtl E62) und ein Motorola mit Android.
Pwn2Own wird wieder an 3 Tagen abgehalten werden und neben Geldpreisen winken auch immer die Geraete auf denen die Hacks durchgefuehrt wurden, wie die Notebooks auf denen die Browser arbeiten, die dem Pwn2Own Hacker zum Opfer fallen.

Persoenlich wette ich das wieder einmal Crapples Safari der erste sein wird der faellt.

(Quelle: pwn2own)