Jetzt mal Butter bei die Fische.
Klar, es IST eine Sicherheitslücke und sollte von Apple so schnell wie möglich behoben werden.
ABER:
Ist sie in der Praxis denn wirklich so relevant?
Wie ich gelesen habe, muss der Code ja über eine präparierte Seite eingeschleust werden.
Diese muss ja erst mal "angesurft" werden!
Und 98% der Internetuser nutzen doch regelmäßig immer die gleichen bekannten Seiten.
Von daher geht da schon mal wenig Gefahr aus.
Außerdem muss ein Angreifer ja auch erst mal einen Nutzen dahinter sehen.
Die SMS von jemandem zu lesen mag zwar hier und da ganz witzig sein, aber ohne das man gezielt die Personen kennt, nutzt das einem doch gar nichts.
Angenommen der Angreifer will von Person X den SMS Verkehr auslesen. Dann muss er erst mal wissen das diese Person ein iPhone besitzt, muss dann die eMail Adresse dieser Person kennen, UND sie erst mal dazu bringen die präparierte Seite zu besuchen.
Die Wahrscheinlichkeit sinkt doch mit jeder weiteren Bedingung!
Und einfach wahllos SMS Auslesen bringt einem Angreifer doch gar nichts. Er kennt weder die Personen um damit etwas anzufangen, noch kann er mit den Inhalten etwas anfangen ohne Bezug zu den Personen.
Also wo ist das Problem?
Es KANN, in sehr wenigen Einzelfällen, ein Problem sein. (wenn alle oben aufgeführten Bedingungen zutreffen).
Es wird in der Praxis aber kaum Relevanz haben.
Erst nachdenken, dann schreiben...
Mittels CrossSiteScripting oder anderer Schwachstellen in diversen Seiten kann man da durchaus entsprechenden Code einschleusen... Wenn Du so etwas mal sehen willst, wie schnell das tatsächlich geht, besuch die nächste CeBIT und schau Dir einen der diversen Live-Hacks an...
Zu den Daten: Artikel lesen. SMS war nur ein Beispiel, es können auch andere Bereiche ausgelesen werden, wie z.B. Adressbuch usw. Wenn ich mir mit so einer präparierten Seite komplette Adressbücher mit Namen, Telefonnummern, Mailadressen und ggf. auch noch Postadressen ziehen kann, dann kann das durchaus richtig Geld wert sein.
Praxisbeispiel:
Ich suche mir eine Seite, die bei iPhone-Nutzern beliebt ist und speise dort möglichst unbemerkt meinen Schadcode ein, schon bekomme ich tausende Adressedateien, die ich nur noch an die entsprechende Stelle weiter verkaufen brauch.
In diesem Fall interessiert mich der einzelne überhaupt nicht, lediglich seine Daten, die ich gewinnbringend weiter verkaufen kann.
also lehn' Dich zurück.
Steve Jobs weis, wovon er spricht.
Keine Viren. Punkt.
Du kannst Safari absichern gegen all so etwas:
http://www.macmark.de/blog/osx_blog_2008-09.php#safari_sandboxed
Kommentare: 170 | letzter Beitrag 15:54 Uhr
Kommentare: 94 | letzter Beitrag 26.05. 19:45
Kommentare: 68 | letzter Beitrag 14:48 Uhr
Kommentare: 64 | letzter Beitrag 26.05. 17:51
Kommentare: 60 | letzter Beitrag 26.05. 13:16
E-Mail an news@golem.de
Immer wieder zeigt Google seine Project Glass genannten Datenbrillen, ohne aber bislang konkrete Ankündigungen zu machen. Neben zahlreichen Fotos, die mit der Brille gemacht wurden, stellte Google nun auch ein erstes Video, das mit der Brille aufgenommen wurde, ins Netz.
Symantec hat sich zu den Aussagen der Bundesregierung geäußert, nach denen Geheimdienste in der Lage seien, SSH oder PGP zu knacken oder zu umgehen. Mathematisch gesehen sei kein wirksamer Angriff bekannt.
T-Pod ist ein kleines Kraftwerk für unterwegs. Betrieben mit einer kleinen Kerze, erzeugt das Gerät Strom für eine Leselampe oder das Laden des Smartphone-Akkus.
Renesas ist nach Elpida der zweite schwer angeschlagene japanische Chiphersteller. Renesas, das Hitachi, Mitsubishi Electric und NEC gehört, macht Verlust und will seine größte Fabrik verkaufen.
RIM soll in den kommenden Tagen erneut einen massiven Stellenabbau ankündigen. "Ich habe herausgefunden, welche Teile ich in meinem Puzzle nicht mehr benötige", sagte Firmenchef Thorsten Heins.
Ein britisches Blog will erfahren haben, dass Facebook den norwegischen Browserhersteller Opera Software kaufen will. Beide Unternehmen wollen sich dazu nicht äußern.