1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Pwn2own: Angriff auf iPhone liest SMS…

Sicherheitslücke: Ja Wirklich relevant?: Eher Nein!

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheitslücke: Ja Wirklich relevant?: Eher Nein!

    Autor: tutnichtszursache 26.03.10 - 09:53

    Jetzt mal Butter bei die Fische.

    Klar, es IST eine Sicherheitslücke und sollte von Apple so schnell wie möglich behoben werden.

    ABER:

    Ist sie in der Praxis denn wirklich so relevant?

    Wie ich gelesen habe, muss der Code ja über eine präparierte Seite eingeschleust werden.

    Diese muss ja erst mal "angesurft" werden!
    Und 98% der Internetuser nutzen doch regelmäßig immer die gleichen bekannten Seiten.
    Von daher geht da schon mal wenig Gefahr aus.
    Außerdem muss ein Angreifer ja auch erst mal einen Nutzen dahinter sehen.
    Die SMS von jemandem zu lesen mag zwar hier und da ganz witzig sein, aber ohne das man gezielt die Personen kennt, nutzt das einem doch gar nichts.

    Angenommen der Angreifer will von Person X den SMS Verkehr auslesen. Dann muss er erst mal wissen das diese Person ein iPhone besitzt, muss dann die eMail Adresse dieser Person kennen, UND sie erst mal dazu bringen die präparierte Seite zu besuchen.

    Die Wahrscheinlichkeit sinkt doch mit jeder weiteren Bedingung!


    Und einfach wahllos SMS Auslesen bringt einem Angreifer doch gar nichts. Er kennt weder die Personen um damit etwas anzufangen, noch kann er mit den Inhalten etwas anfangen ohne Bezug zu den Personen.
    Also wo ist das Problem?


    Es KANN, in sehr wenigen Einzelfällen, ein Problem sein. (wenn alle oben aufgeführten Bedingungen zutreffen).
    Es wird in der Praxis aber kaum Relevanz haben.

  2. Re: Sicherheitslücke: Ja Wirklich relevant?: Eher Nein!

    Autor: DebianUser 26.03.10 - 10:05

    Erst nachdenken, dann schreiben...
    Mittels CrossSiteScripting oder anderer Schwachstellen in diversen Seiten kann man da durchaus entsprechenden Code einschleusen... Wenn Du so etwas mal sehen willst, wie schnell das tatsächlich geht, besuch die nächste CeBIT und schau Dir einen der diversen Live-Hacks an...
    Zu den Daten: Artikel lesen. SMS war nur ein Beispiel, es können auch andere Bereiche ausgelesen werden, wie z.B. Adressbuch usw. Wenn ich mir mit so einer präparierten Seite komplette Adressbücher mit Namen, Telefonnummern, Mailadressen und ggf. auch noch Postadressen ziehen kann, dann kann das durchaus richtig Geld wert sein.
    Praxisbeispiel:
    Ich suche mir eine Seite, die bei iPhone-Nutzern beliebt ist und speise dort möglichst unbemerkt meinen Schadcode ein, schon bekomme ich tausende Adressedateien, die ich nur noch an die entsprechende Stelle weiter verkaufen brauch.
    In diesem Fall interessiert mich der einzelne überhaupt nicht, lediglich seine Daten, die ich gewinnbringend weiter verkaufen kann.

  3. Don't panic, Apple ist sicher

    Autor: Dresther 26.03.10 - 10:52

    also lehn' Dich zurück.

    Steve Jobs weis, wovon er spricht.
    Keine Viren. Punkt.

  4. Sandbox

    Autor: MacMark 27.03.10 - 18:14

    Du kannst Safari absichern gegen all so etwas:
    http://www.macmark.de/blog/osx_blog_2008-09.php#safari_sandboxed

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe, Köln, Stuttgart
  2. Franke Coffee Systems GmbH, Gruensfeld
  3. MVV Energie AG, Mannheim
  4. WITRON Gruppe, Parkstein (Raum Weiden / Oberpfalz)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme