Sicherheitslücken im Apple-Universum

Hier die Reaktion auf die Mail-Sicherheitslücke:
Mail-App auf iPhone und iPad: Apple sieht keine Bedrohung
https://www.ifun.de/mail-app-a…t-keine-bedrohung-153036/

Gute und schlechte Nachrichten:
Die Mail-Lücke wurde mit iOS 13.5 behoben.
Dafür wurden in iOS 13.5 nun mittlerweile mindestens 2 weitere, schwere Fehler entdeckt.

Zum einen fehlerhafte Hintergrundaktionen:
Dadurch kann es zu einem übermäßigen Energie-Verbrauch kommen. Hab ich selbst im Übrigen über Nacht schon erlebt. Da staunt man nicht schlecht, wenn das Smartphone am Abend voll geladen war und am Morgen nicht mehr eingeschaltet werden konnte, da der Akku leer gesaugt wurde.

Zum anderen ist iOS 13.5 geknackt worden.
So lassen sich auch mit der neusten iOS Version Jailbreakes nutzen.

Was ist eigentlich aus den Sicherheitslücken in iOS geworden?

Einige Zeit war es nun recht ruhig um die Sicherheitslücken bei Apple.

Ja so ruhig sogar, dass man hätte annehmen können, Apple hätte gar keine Lücken mehr, auch wenn das irgendwie noch verdächtiger klingen müsste.

Aber nun geht es weiter bzw. wurde es mal wieder ausgegraben. Denn eigentlich wurde das Thema lange Zeit einfach nur nicht an die große Glocke gehängt, obwohl es längst existierte. Apple hat ein massives Sicherheitsproblem.

Gute Nachrichten was einige Sicherheitslücken im Apple-Universum angeht!

55 wurden entdeckt und sollten nun bereits auch schon wieder geschlossen sein.

Und nun gibt's doch wieder schlechte Nachrichten der Sicherheit:

T2-Sicherheitslücke: Modifiziertes Netzteil lässt umfassende Manipulationen zu

VORSICHT vor fiesen Abo-Fallen im App-Store!

Es ist nun schon länger her, dass es in diesem Thread Aktivitäten gab. Das hängt jedoch leider nicht damit zusammen, das Apple sicherer geworden ist, sondern, dass ich mir einfach nicht die Zeit genommen habe, jede einzelne Sicherheitslücke hier in den Thread zu packen. Nun ist aber wieder etwas passiert, was an "Der heilen Welt / dem Apple Paradies" zweifeln lässt.

Jeder kennt im Grunde Amazon und das man nicht allen Bewertungen uneingeschränkt Glauben schenken sollte und im Endeffekt haben wir es doch schon lange geahnt oder?

Und zwar, das auch im App-Store geschummelt und getrickst wird was das Zeug hält.

Nun hat diese Welle jedoch einen neuen Höhepunkt erreicht:

"Der App Store hat ein großes Problem mit fiesen Abo-Fallen, die sich mittlerweile nicht mal mehr die Mühe machen, funktionale Apps bereitzustellen."

"Falsche Videos, falsche Bewertungen, echtes Geld

Selbst mit der erfolgreichen Apple Watch-Tastatur FlickType im App Store vertreten, hat sich Kosta in den vergangenen Wochen vor allem mit direkten Konkurrenten beschäftigt und ist hier auf ein Muster gestoßen, das sich immer wieder beobachten ließ: Statt mit funktional ähnlichen Anwendungen mit FlickType zu konkurrieren, kümmerten sich die Mitbewerber gar nicht mehr um ein eigenes Produkt, sondern nur noch um die Illusion dessen. Häufig nutzt die Konkurrenz einfach Videos und Bildschirmfotos der echten FlickType-Anwendung, um ihre Downloads zu bewerben. Und beworben wird viel. Vor allem mit Video, vor allen in sozialen Netzwerken.

Griffen interessierte Anwender dann zu, starten die Apps für gewöhnlich mit weißen Bildschirmen, auf denen durchgängig nur ein Bedienelement eingeblendet wurde: ein Knopf zum Abschluss eines Abos, gerne mit Kosten in Höhe von $400 oder mehr pro Jahr.

Unbedarfte Anwender, die diese Abfrage bestätigten – und davon gibt es nach wie vor hunderttausende – waren in einer funktionslosen App mit weißem Bildschirm gefangen. Zwar beschwerten sich viele in den App Store-Rezensionen, da dieser vor falschen 5-Stern-Bewertungen überquollen, gingen die kritischen Wortmeldungen in der Masse der Fake-Rezensionen nahezu vollständig unter.

Kosta Eleftheriou, ein App-Entwickler für mobile Display-Tastaturen, ist frustriert: „So please Apple, do something. I’m pretty close to giving up here.“

Quelle

Und weiter geht's:

Datenschutz-Hinweise im App Store oft unzutreffend und fehlerhaft

"Apple bringt sich seit einigen Wochen mit einem vergleichsweise aggressiven Vorgehend gleich an mehreren Fronten gegen Google, Facebook und allen anderen Marktteilnehmer in Position, die ihr Geld vor allem mit den Verkauf von Reklame und dem Tracking von Nutzern verdienen.

Mit iOS 14.5 müssen Werber und all jene Entwickler, die deren Software-Komponenten zur Banneranzeige und zum Tracking integrieren, aktiv auf Nutzer zugehen und vor dem Tracking aktiv nach einer Erlaubnis fragen.

Zudem sind App-Entwickler, die neue Updates ihrer Anwendungen in den App Store einstellen seit einigen Wochen dazu verpflichtet, dort über den Datenhunger ihrer Applikationen aufzuklären. Apple hat diesbezüglich neue App Store-Beipackzettel eingeführt, auf denen Entwickler stichpunktartig darlegen müssen, welche Nutzerdaten beim Einsatz der App abgegriffen werden.

Dass die neuen App Store-Beipackzettel dabei nicht der Weisheit letzter Schluss sind, haben bereits erste Untersuchungen Ende des vergangenen Jahres gezeigt. So ist das Ausfüllen der Datenschutz-Hinweise zwar verpflichtend, an Gewissenhaftigkeit, Nachvollziehbarkeit und Vollständigkeit sind jedoch weder eindeutige Anforderungen gebunden, noch scheint es bislang zu nennenswerten Sanktionen gekommen zu sein, wenn Entwickler diese nicht ordentlich oder auch wissentlich falsch ausgefüllt haben.

Leider ist die Scheintransparent weder transparent noch hilfreich.

Mittlerweile scheint sich dies unter der dem Teil der Entwickler-Community herumgesprochen zu haben, die den Datenschutz ohnehin nicht ganz so genau nehmen. Dies legt ein stichprobenartiger Test der Washington Post nahe. Nach Angaben der amerikanischen Tageszeitung sind zahlreiche Datenschutz-Hinweise im App Store entweder falsch oder fehlerhaft ausgefüllt.

Häufig würden App-Entwickler angeben gar keine Daten zu sammeln, hätten aber Werbe- und Statistik-Frameworks von Google und Facebook integriert, die eigentlich dazu führen müssten, dass fast alle der möglichen Beipackzettel-Kategorien angekreuzt werden müssten. Als Negativ-Beispiel wird etwas die ohnehin schon zwielichtig wirkende Abo-App „Schleim Simulator“ angeführt, die in den Datenschutz-Hinweisen angibt überhaupt keine Nutzerdaten zu erfassen, alle Zugriffe auf die App dann aber ohne Wissen des Nutzers mit GameAnalytics, Facebook und Google teilt."

„Wo ist?“-Netzwerk geknackt: Forscher hebeln Apples Sachenfinder aus

Während die Apple-Community noch auf den Verkaufsstart der AirTags genannten Sachen-Finder aus Cupertino wartet, ist der Fachbereich Informatik der Technischen Universität Darmstadt bereits einen Schritt weiter.

Im Rahmen eines Forschungsprojektes hat dieser heute ein Framework zum Tracking eigener Bluetooth-fähiger Geräte veröffentlicht, das im Hintergrund auf Apples riesiges „Wo ist?“-Netzwerk zugreift.

Die Sicherheitsforscher Alexander Heinrich und Milan Stute des so genannten Secure Mobile Networking Lab haben dafür das „Find My“-Protokoll, das Apple schon jetzt in Macs und iPhones einsetzt, per Reverse Engineering durchleuchtet und es geschafft, dieses für eigenen Hard- und Softwareintegrationen zweckzuentfremden.

Erstellen eigener „AirTags“ ist möglich

Konkret gestattet die Vorarbeit der Informatiker jedem Anwender das Erstellen eigener „AirTags“. Um dies so einfach wie möglich zu machen, haben die Programmierer der Uni Darmstadt nicht nur ihr Framework veröffentlicht, sondern bieten mit OpenHaystack auch eine Mac-Applikation an, die die Konfiguration der eigenen Sachen-Finder ermöglicht.

Als Basis kann hier das Bluetooth-fähige BBC micro:bit dienen, ein preiswerter Einplatinencomputer, der für um die 20 Euro zu haben ist.

Was kann die App?

• Eigene Tags erstellen, basierend auf Apples riesigem Find My-Netzwerk
• Herunterladen der letzten Standorte und anzeigen auf einer Karte
• Icons und Farben für jeden Tag, um sie auf der Karte besser unterscheiden zu können
• Installation des „AirTag“-Firmware-Images auf Bluetooth-Dongles wie z.B. einem BBC micro:bit

Wie funktioniert Offline Finding?

• Die Tags senden spezielle Bluetooth-Beacons aus
• iPhones in der Nähe empfangen die Beacons und gehen davon aus, dass das sendende Gerät verloren gegangen ist
• Diese verschlüsseln Ende-zu-Ende die eigenen aktuellen GPS-Koordinaten und laden sie zu Apple hoch
• Die OpenHaystack-App lädt die verschlüsselten Meldungen der eigenen Geräte herunter und entschlüsselt sie lokal auf dem Mac.

Über „erhebliche Datenschutzprobleme“ gestolpert

Sowohl die Mac-Applikation als auch ihr Quellcode sind jetzt über das Code-Portal GitHub erhältlich. Auf dem eigenen System ausgeführt platziert die Mac-App ein Plugin in Apples Mail-Anwendung, um auf das „Wo ist?“-Netzwerk zugreifen zu können.

Das Team der TU Darmstadt, die bereits andere Apple-Dienste, wie etwa das drahtlose AirDrop-Protokoll unter die Lupe genommen haben, haben sich bereits seit den ersten Ankündigungen von iOS 13 im Jahr 2019 mit Apples „Wo ist?“-Netzwerk auseinandergesetzt und sind im Rahmen ihrer Projektarbeit über „erhebliche Datenschutzprobleme“ gestolpert, die bereits an Apple gemeldet wurden.

Allerdings hat Apple bis jetzt noch kein Security Bounty dafür ausgezahlt. Die Entwickler berichten:

"Bis macOS 10.15.6 war jede App ohne Sandbox (wie Firefox, Google Chrome, Zoom) in der Lage, Apples Standort-API zu umgehen, die die Zustimmung des Benutzers erfordert, bevor eine App auf den Standort des Geräts zugreifen kann.

Dies war durch den Zugriff auf die privaten Schlüssel möglich, die für alle Apple-Geräte verwendet werden, die mit einem iCloud-Konto auf dem System verbunden sind. Eine bösartige Anwendung konnte diese Schlüssel verwenden, um die vom Find My Network übermittelten Standortdaten herunterzuladen und zu entschlüsseln.

Unsere kürzlich veröffentlichte Arbeit zeigt, dass diese Schlüssel einen Standortverlauf für eine Woche liefern und eine dauerhafte Verfolgung des Opfers für bis zu 9 Wochen ermöglichen, selbst wenn die App in der Zwischenzeit gelöscht wurde (weil macOS die Entschlüsselungsschlüssel vorberechnet).

Unsere Auswertung hat auch gezeigt, dass es für einen Angreifer ein Leichtes ist, die meistbesuchten Orte eines Opfers (wie der Arbeitsplatz oder das Zuhause) zu erkennen und zu identifizieren, zu welcher Tageszeit die Person dort war. Apple hat die Sicherheitslücke bestätigt und das Problem mit macOS 10.15.7 (CVE-2020-9986) behoben. Das Problem war auch in den ersten Betaversionen von macOS 11 vorhanden."

Apple selbst hatte das „Find My network“ im Sommer als Dienst für Drittanbieter vorgestellt, der das Auffinden von Produkten anderer Anbieter über Apples 1,5 Milliarden aktiv genutzte iOS-Geräte realisieren soll.