1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwn2own: Angriff auf iPhone liest SMS…

Sicherheitslücke: Ja Wirklich relevant?: Eher Nein!

  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheitslücke: Ja Wirklich relevant?: Eher Nein!

    Autor: tutnichtszursache 26.03.10 - 09:53

    Jetzt mal Butter bei die Fische.

    Klar, es IST eine Sicherheitslücke und sollte von Apple so schnell wie möglich behoben werden.

    ABER:

    Ist sie in der Praxis denn wirklich so relevant?

    Wie ich gelesen habe, muss der Code ja über eine präparierte Seite eingeschleust werden.

    Diese muss ja erst mal "angesurft" werden!
    Und 98% der Internetuser nutzen doch regelmäßig immer die gleichen bekannten Seiten.
    Von daher geht da schon mal wenig Gefahr aus.
    Außerdem muss ein Angreifer ja auch erst mal einen Nutzen dahinter sehen.
    Die SMS von jemandem zu lesen mag zwar hier und da ganz witzig sein, aber ohne das man gezielt die Personen kennt, nutzt das einem doch gar nichts.

    Angenommen der Angreifer will von Person X den SMS Verkehr auslesen. Dann muss er erst mal wissen das diese Person ein iPhone besitzt, muss dann die eMail Adresse dieser Person kennen, UND sie erst mal dazu bringen die präparierte Seite zu besuchen.

    Die Wahrscheinlichkeit sinkt doch mit jeder weiteren Bedingung!


    Und einfach wahllos SMS Auslesen bringt einem Angreifer doch gar nichts. Er kennt weder die Personen um damit etwas anzufangen, noch kann er mit den Inhalten etwas anfangen ohne Bezug zu den Personen.
    Also wo ist das Problem?


    Es KANN, in sehr wenigen Einzelfällen, ein Problem sein. (wenn alle oben aufgeführten Bedingungen zutreffen).
    Es wird in der Praxis aber kaum Relevanz haben.

  2. Re: Sicherheitslücke: Ja Wirklich relevant?: Eher Nein!

    Autor: DebianUser 26.03.10 - 10:05

    Erst nachdenken, dann schreiben...
    Mittels CrossSiteScripting oder anderer Schwachstellen in diversen Seiten kann man da durchaus entsprechenden Code einschleusen... Wenn Du so etwas mal sehen willst, wie schnell das tatsächlich geht, besuch die nächste CeBIT und schau Dir einen der diversen Live-Hacks an...
    Zu den Daten: Artikel lesen. SMS war nur ein Beispiel, es können auch andere Bereiche ausgelesen werden, wie z.B. Adressbuch usw. Wenn ich mir mit so einer präparierten Seite komplette Adressbücher mit Namen, Telefonnummern, Mailadressen und ggf. auch noch Postadressen ziehen kann, dann kann das durchaus richtig Geld wert sein.
    Praxisbeispiel:
    Ich suche mir eine Seite, die bei iPhone-Nutzern beliebt ist und speise dort möglichst unbemerkt meinen Schadcode ein, schon bekomme ich tausende Adressedateien, die ich nur noch an die entsprechende Stelle weiter verkaufen brauch.
    In diesem Fall interessiert mich der einzelne überhaupt nicht, lediglich seine Daten, die ich gewinnbringend weiter verkaufen kann.

  3. Don't panic, Apple ist sicher

    Autor: Dresther 26.03.10 - 10:52

    also lehn' Dich zurück.

    Steve Jobs weis, wovon er spricht.
    Keine Viren. Punkt.

  4. Sandbox

    Autor: MacMark 27.03.10 - 18:14

    Du kannst Safari absichern gegen all so etwas:
    http://www.macmark.de/blog/osx_blog_2008-09.php#safari_sandboxed

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Deutsche WindGuard Consulting GmbH, Varel
  2. Schweickert GmbH, Walldorf
  3. Method Park Holding AG, Erlangen
  4. ING Deutschland, Frankfurt, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 28,99€
  2. (u. a. Phoenix Point: Year One Edition für 24,99€, Project Cars 3 für 19,99€, Project Cars 2...
  3. 16,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Wissen für ITler: 11 tolle Tech-Podcasts
Wissen für ITler
11 tolle Tech-Podcasts

Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
Von Dennis Kogel


    XPS 13 (9310) im Test: Dells Ultrabook ist besser denn je
    XPS 13 (9310) im Test
    Dells Ultrabook ist besser denn je

    Wir dachten ja, bis auf den Tiger-Lake-Chip habe Dell am XPS 13 nichts geändert. Doch es gibt einige willkommene Änderungen.
    Ein Test von Marc Sauter

    1. Dell-Ultrabook XPS 13 mit weniger vertikalen Pixeln
    2. Notebooks Dells XPS 13 mit Intels Tiger Lake kommt
    3. XPS 13 (9300) im Test Dells i-Tüpfelchen

    Passwortmanager: Das letzte Mal Lastpass verwenden
    Passwortmanager
    Das letzte Mal Lastpass verwenden

    Der Passwortmanager Lastpass schränkt seinen kostenlosen Dienst massiv ein. Wir zeigen Alternativen, die obendrein sicherer sind.
    Von Moritz Tremmel

    1. Autofill Microsoft testet Passwortmanager
    2. Sicherheitslücke Admin-Passwort für Rettungsdienst-System ungeschützt im Netz
    3. Sicherheitslücke 800 Zugangsdaten waren auf CSU-Webserver auslesbar