1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Siri für alle: Applidium…

Apple-ID?

  1. Thema

Neues Thema Ansicht wechseln


  1. Apple-ID?

    Autor: DaM 15.11.11 - 13:47

    Wenn die Apple-ID übermittelt wird könnte es doch sein, dass Apple serverseitig "nicht-4S-IDs" vom Dienst aussperrt, oder?

    > Mitgesendet wird ein sogenannter X-Ace-host, eine eindeutige ID,
    > die jedem iPhone 4S zugeordnet ist.

    Dann käme als nächstes ID-Klau in dem Bereich? Oder Handel? Coole Geschäftsmodelle eröffnen sich da...

  2. Re: Apple-ID?

    Autor: Maxiklin 15.11.11 - 14:03

    Es wird nicht die Apple-ID übermittelt, sondern die Handy-ID, vergleichbar mit der IMEI bzw. Seriennummer. Apple weiß genau, welche IMEI zu welchem Handytyp gehört, jede NUmmer ist ja einmalig, und wenn eine IMEI am Server anklopft, die zu einem alten 4er gehört, wird das ganze geblockt.

    beim Hack müßte also irgendeine Art- ID-Generator mitlaufen, der aus dem 4S-ID-Bereich zufällig immer eine mitsendet. Und wenn dummerweise öfter mal dieselbe aufläuft, wird sie komplett gesperrt, wie Microsoft das mit den Windows-Keys macht, da gibts ja auch ne wachsende Blacklist.

  3. Re: Apple-ID?

    Autor: tomek 15.11.11 - 15:11

    Maxiklin schrieb:
    --------------------------------------------------------------------------------
    > Es wird nicht die Apple-ID übermittelt, sondern die Handy-ID, vergleichbar
    > mit der IMEI bzw. Seriennummer. Apple weiß genau, welche IMEI zu welchem
    > Handytyp gehört, jede NUmmer ist ja einmalig, und wenn eine IMEI am Server
    > anklopft, die zu einem alten 4er gehört, wird das ganze geblockt.
    >
    > beim Hack müßte also irgendeine Art- ID-Generator mitlaufen, der aus dem
    > 4S-ID-Bereich zufällig immer eine mitsendet. Und wenn dummerweise öfter mal
    > dieselbe aufläuft, wird sie komplett gesperrt, wie Microsoft das mit den
    > Windows-Keys macht, da gibts ja auch ne wachsende Blacklist.

    Ich hab das "Cracking Siri"-Pamphlet zwar nur überflogen, aber ich bin mir sicher da steht nichts davon, dass die IMEI oder Handy-ID übermittelt wird.
    Außerdem hinkt dein Vergleich mit dem Windows-Key. Dieser wird nämlich nur dann gesperrt, wenn damit innerhalb eines kurzen Zeitraums viele Freischaltungen erfolgen. Dies wäre für ein OS aus naheliegenden Gründen unlogisch.
    Anders bei Siri. Sollte die IMEI oder Handy-ID wirklich übermittelt werden, dann bei jeder Anfrage. Und wenn jemand Siri konstant nutzt, dann laufen da halt entsprechend viele Anfragen mit der gleichen Handy-ID, bzw. IMEI bei Apple auf. Es ist für Apple wohl kaum möglich einen Missbrauch daraus abzuleiten.

  4. Re: Apple-ID?

    Autor: White Rabbit 15.11.11 - 15:46

    Dafür braucht es kein ID Generator.

    Man kauft einfach ein paar 4S, ließt die GUID aus und gibt die Geräte wieder zurück.
    Der spätere Käufer freut sich dann wenn sein Gerät auf der Blackliste landet.

  5. Re: Apple-ID?

    Autor: Netspy 15.11.11 - 15:55

    tomek schrieb:
    --------------------------------------------------------------------------------
    >
    > Anders bei Siri. Sollte die IMEI oder Handy-ID wirklich übermittelt werden,
    > dann bei jeder Anfrage. Und wenn jemand Siri konstant nutzt, dann laufen da
    > halt entsprechend viele Anfragen mit der gleichen Handy-ID, bzw. IMEI bei
    > Apple auf. Es ist für Apple wohl kaum möglich einen Missbrauch daraus
    > abzuleiten.

    Natürlich lässt sich da leicht ein Missbrauch ableiten, wenn das 4S auf einmal zur gleichen Zeit in verschiedenen Ländern mit unterschiedlichen IPs unterwegs ist.

  6. Re: Apple-ID?

    Autor: chrulri 15.11.11 - 18:16

    lol :D

  7. Re: Apple-ID?

    Autor: tomek 15.11.11 - 19:01

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > tomek schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > >
    > > Anders bei Siri. Sollte die IMEI oder Handy-ID wirklich übermittelt
    > werden,
    > > dann bei jeder Anfrage. Und wenn jemand Siri konstant nutzt, dann laufen
    > da
    > > halt entsprechend viele Anfragen mit der gleichen Handy-ID, bzw. IMEI
    > bei
    > > Apple auf. Es ist für Apple wohl kaum möglich einen Missbrauch daraus
    > > abzuleiten.
    >
    > Natürlich lässt sich da leicht ein Missbrauch ableiten, wenn das 4S auf
    > einmal zur gleichen Zeit in verschiedenen Ländern mit unterschiedlichen IPs
    > unterwegs ist.

    Stimmt, das mit den unterschiedlichen IP's zur gleichen Ziet ist ein guter Punkt.

  8. Re: Apple-ID?

    Autor: stefan.k 15.11.11 - 19:26

    Seh da ein ganz anderes Problem, wenn das wirklich über z.B. die IMEI gelöst wurde, und vll. keine Kontrolle von welcher IP beziehungsweiße läuft das ja eh über einen Proxy beim Anbieter.

    Angenommen ein Appprogrammierer liest nun deine IMEI aus, und benutzt den Hack um alles was du über Siri machts "mithöhren" zu können, dann hat er je nach Nutzungsgrad einiges an Daten über dich.

  9. Re: Apple-ID?

    Autor: Netspy 15.11.11 - 22:53

    Eine App kann den Datenverkehr von Siri nicht mithören. Es gibt auch keinen "Hack", es wurde nur das Protokoll aufgezeichnet und analysiert.

  10. Re: Apple-ID?

    Autor: neocron 16.11.11 - 00:05

    natuerlich kann eine app den datenverkehr mithoeren.
    heisst kizmac :P

    oder jedes andere wlan dumping tool.

    Hab jedoch nicht gelesen, ob es zusaetzlich noch verschluesselt wird, dann muesste man das natuerlich erstmal noch knacken.

    Generell ist es aber moeglich die datenpackete eines jeden iphones zumindest ueber wlan mitzuhoeren ...
    sobald man daran kommt, kann man demnach auch die id welche auch immer das sein mag herauslesen ...

  11. Re: Apple-ID?

    Autor: chrulri 16.11.11 - 00:08

    Ist SSL verschlüsselt. Weshalb man einfach einen Fake-Server (inkl. Zertifikat) hinstellt und den DNS Eintrag umbiegt.
    Mehr dazu im HowTo der Entwickler.

  12. Re: Apple-ID?

    Autor: neocron 16.11.11 - 00:19

    ah, ...
    nunja ... das ist aber dann nicht mehr so einfach abgreifbar ... schade
    damit muesste ich den access point kontrollieren.
    Die idee ist ja nicht mal neu, das gleiche hat doch damals schon der erste iphone activator hack gemacht ... der hat dem itunes nen aktivierungsserver von apple vorgegaukelt ...

  13. Re: Apple-ID?

    Autor: Netspy 16.11.11 - 00:19

    neocron schrieb:
    --------------------------------------------------------------------------------
    > natuerlich kann eine app den datenverkehr mithoeren.
    > heisst kizmac :P

    Auf dem Mac (oder Windows, Linux, etc.) ja, aber nicht auf dem iPhone

    > Hab jedoch nicht gelesen, ob es zusaetzlich noch verschluesselt wird, dann
    > muesste man das natuerlich erstmal noch knacken.

    Einfach mal den Golem-Artikel lesen:

    > Siri kommuniziert per HTTPS…

    ;-)

    > Generell ist es aber moeglich die datenpackete eines jeden iphones
    > zumindest ueber wlan mitzuhoeren …

    Nein, wenn auch nur ein Mindestmaß an Sicherheitsvorkehrungen getroffen wurde.

    > sobald man daran kommt, kann man demnach auch die id welche auch immer das
    > sein mag herauslesen ...

    Wegen SSL geht es auch dann nicht.

  14. Re: Apple-ID?

    Autor: neocron 16.11.11 - 00:28

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > neocron schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > natuerlich kann eine app den datenverkehr mithoeren.
    > > heisst kizmac :P
    >
    > Auf dem Mac (oder Windows, Linux, etc.) ja, aber nicht auf dem iPhone
    http://code.google.com/p/iphone-wireless/wiki/Stumbler
    :P
    sind ja auch nur kleine computer, warum sollte das nicht gehen. Der einzige grund waere, wenn die wlan adapter kein "monitor" unterstuetzen wuerden!
    >
    > > Hab jedoch nicht gelesen, ob es zusaetzlich noch verschluesselt wird,
    > dann
    > > muesste man das natuerlich erstmal noch knacken.

    > Nein, wenn auch nur ein Mindestmaß an Sicherheitsvorkehrungen getroffen
    > wurde.
    deshalb kann ich sie denoch erstmal mithoeren, auch wenn ich sie nicht unbedingt verstehe.
    Natuerlich muss ich dann die egientlich mechanismen noch umgehen. Jedoch ist WPA nun auch nicht mehr das problem ... oder gar WPA2.
    Somit ist der einzig wirkliche schutz das HTTPS bzw. SSL

    > Wegen SSL geht es auch dann nicht.
    richtig ... SSL war hier das problem, ... das meinte ich ja, wenn man das umgehen koennte, kaeme man an die id ...

    Ist aber auch so ziemlich die einzig wirklich sichere sache an dem ganzen prozess!?

  15. Re: Apple-ID?

    Autor: Netspy 16.11.11 - 00:46

    neocron schrieb:
    --------------------------------------------------------------------------------
    > Der einzige
    > grund waere, wenn die wlan adapter kein "monitor" unterstuetzen wuerden!

    Genauso ist es.

    > deshalb kann ich sie denoch erstmal mithoeren, auch wenn ich sie nicht
    > unbedingt verstehe.

    Ohne das Verstehen nützt das Mithören aber nichts.

    > Natuerlich muss ich dann die egientlich mechanismen noch umgehen. Jedoch
    > ist WPA nun auch nicht mehr das problem ... oder gar WPA2.

    Wie willst du WPA2 knacken?

    > Somit ist der einzig wirkliche schutz das HTTPS bzw. SSL

    Zusätzlich zur WLAN-Verschlüsselung und alleine schon ausreichend.

    > > Wegen SSL geht es auch dann nicht.
    > richtig ... SSL war hier das problem, ... das meinte ich ja, wenn man das
    > umgehen koennte, kaeme man an die id ...
    >
    > Ist aber auch so ziemlich die einzig wirklich sichere sache an dem ganzen
    > prozess!?

    Was heißt hier die „die einzig wirklich sichere sache“? SSL reicht doch völlig aus und alles andere wäre sowieso mehr oder weniger nutzlos. Bei allen anderen Sachen im Netz ist SSL auch der einzige wirkliche Schutz, um Zugangsdaten zu schützen.

  16. Re: Apple-ID?

    Autor: neocron 16.11.11 - 01:06

    Netspy schrieb:
    --------------------------------------------------------------------------------

    > Wie willst du WPA2 knacken?
    nunja, das waere die letzte sache, die ich angehen wuerde ... gibt genug wep, und tkip wpa netze ... damit kann man anfangen.
    Und WPA2 haben viele auch mit 5-10 stelligen passwoertern ...
    was kost es das auf amazon E2C und brute force?
    5 stellen kost mich nen euro ...
    7 stellen dauert knapp 5 std
    8 stellen wird schon richtig teuer ... :) mit 5 tagen ...
    10 stellen wuerde ich nun nicht mehr bezahlen wollen :P
    aber unmoeglich ist es nicht ...
    >
    > > Somit ist der einzig wirkliche schutz das HTTPS bzw. SSL
    >
    > Zusätzlich zur WLAN-Verschlüsselung und alleine schon ausreichend.
    sag ich ja ...

    > > > Wegen SSL geht es auch dann nicht.
    > > richtig ... SSL war hier das problem, ... das meinte ich ja, wenn man
    > das
    > > umgehen koennte, kaeme man an die id ...
    > >
    > > Ist aber auch so ziemlich die einzig wirklich sichere sache an dem
    > ganzen
    > > prozess!?
    >
    > Was heißt hier die „die einzig wirklich sichere sache“? SSL
    > reicht doch völlig aus und alles andere wäre sowieso mehr oder weniger
    > nutzlos.
    Richtig ... von ssl wusste ich aber in meinem ersten post nichts, habe es aber offen gelassen!
    Und nunja, wenn die herren es mit DNS umleitung und falschem zertifikat hinbekommen ... dann kann ich mich auch mitm handy in nen cafe setzen, warten bis einer mein offenes wlan benutzt ... und los geht's!
    An irgend eine imei komm ich so sicherlich :), die ich dann nutzen kann fuer die eigene siri implementation!?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Administrator (m/w/d)
    Wagon Automotive Nagold GmbH, Nagold
  2. Datenanalystin / Datenanalyst (w/m/d) im gehobenen informationstechnischen Dienst
    Polizeipräsidium Reutlingen, Esslingen
  3. SAP FI/CO Inhouse Consultant (m/w/d) im Bereich International Systems and Solution Group (ISG)
    GLOBUS SB-Warenhaus Holding GmbH & Co. KG, St. Wendel
  4. Mitarbeiter:in im IT-Support
    BLS AG, Köniz (Schweiz)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 9,49€
  2. 6,99€
  3. 29,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de