Feature XARA: Apple soll schwerwiegende Sicherheitslücke in OS X und iOS seit Monaten bekannt sein

[rootie]

So ist es! Diskussionen mit "hätte, könnte und wollte" sind definitiv obsolet. Aber genau diese Diskussionen muss ich mit den anderen führen, weil diese Sachen annehmen und diese Annahme als wahr voraussetzen. Und das ist es eigentlich was ich seit zwei Seiten anprangere.

Ich mache nichts anderes als die Argumente und angeblichen Begründungen der anderen zu widerlegen so wie gerade eben in Post #139.

Wenn Dir das zu anstrengend ist Dich durch meine Kommentare zu lesen, steht es Dir jederzeit frei, mich zu ignorieren.

 

[Paganethos]

Nochmal, ich lese den Artikel so. Das eine infizierte App die Kommunikation zwischen iOS und einer komplett App auf die sensiblen Daten zugreifen kann.

Die Tastatur ist vom iOS meine Bank App ist die externe und sagen wir nun mal WhatsApp ist die infizierte App. Ich kommuniziere aber das iOS (Tastatur) mit der App meiner Bank und WhatsApp kann auf Sensible Daten zugreifen. Die Sensiblen Daten kann zum Beispiel in diesen Fall schon die Eingabe des PINS sein. Ohne das der PIN irgendwo sonst in einen Passwort Verwaltungsprogramm gespeichert ist.

Das wäre dann ein simpler Keylogger und gibt es so schon seit Jahrzehnten. Das eigentliche Problem ist aber, dass Apps an den Inhalt deines Schlüsselbundes kommen.

Im Artikel steht nichts das Apple daran arbeitet, auch so ist mir nun hier aus dem Thread kein Link noch im Hinterkopf. Wo stehen würde das in der aktuellen Beta von 10.10.4 bzw. 8.4 dieses Problem behoben ist. Geschweige davon das es irgendwelche Betas für die älteren Versionen 10.9.x 10.8.x bzw. iOS 6x /.7.x gibt die das Problem heben würden.

In deinen Link von heiße steht das das nun daran gearbeitet wird, jedoch in 10.10.3 kann es umgangen werden und auch in 10.10.4 kann es umgangen werden. Somit ist das Problem nicht gelöst und irgendwann im April 2015 kam 10.10.3 und im Oktober 2014 wurde das Problem gemeldet.

Im November 2014 kam 10.10.1 und im Januar 2015 kam 10.10.2. Dort wurde wie es scheint nicht mal an einen fix gearbeitet.

Ja, es wird daran gearbeitet. Das hast du ja verstanden und da widersprichst du dir selber. Du kannst dir ja sicher auch denken, dass so ein tiefgreifendes Problem nicht trivial ist und Zeit braucht. Schliesslich sollen ja alle Apps weiterhin berechtigt auf den Schlüsselbund zugreifen können. Das Geschrei hier will ich mir gar nicht ausdenken, wenn Apple da etwas an dem Automatismus ändert.

 

[Scotch]

Kann man das auch belegen?

Koenntest du praezsisieren, was genau du belegt haben moechtest?

Was ist an 1Password blöd? Ich will nicht bashen, ich will es nur verstehen.

Es ist ein moeglicher SPoF.

Wenn automatisch erkannt werden kann, welche App betroffen ist, dann hast Du definitiv Recht. Ist dem so?

Offensichtlich.

Oder habe ich was überlesen?

Anscheinend - den Teil, wo sie rund 2000 Programme aus den App Stores auf diese Sicherheitsluecke(n) ueberprueft haben.

 

[rootie]

Es ist ein moeglicher SPoF.

Magst Du mir bitte anhand eines realistischen (!) Beispiels erklären, wie Du das meinst? Ich verstehe es wirklich nicht.

 

[Scotch]

für alle Apps im App Store gibt es eine gründliche Prüfung, dass sie schadfrei sind

Nein. Fuer alle Apps gibt es eine Pruefung, ob diese Apples Richtlinien entsprechen. Diese haben nur zum Teil was mit Sicherheit und der Softwarequalitaet zu tun. Dass die Eingangskontrolle von Apple fehlerhafte und ggf. boesartige Software zuverlaessig verhindert, ist ein Geruecht. Aber die Qualitaetskontrolle von Apple (ueber die weniger glorreichen "Pruefungen" breiten wir in diesem Zusammenhang mal den Mantel des Schweigens) ist immer noch hundert mal mehr, als die Mitbewerber pruefen.

Apple hat das Problem auch erkannt und fuehrt mit Xcode 7 die enstprechenden Tools ein, um das weiter zu verbessern. Wen's Interessiert: "What's new in Xcode 7" von der WWDC anschauen.

 

[Mitglied 105235]

So ist es! Diskussionen mit "hätte, könnte und wollte" sind definitiv obsolet. Aber genau diese Diskussionen muss ich mit den anderen führen, weil diese Sachen annehmen und diese Annahme als wahr voraussetzen. Und das ist es eigentlich was ich seit zwei Seiten anprangere.

Ich mache nichts anderes als die Argumente und angeblichen Begründungen der anderen zu widerlegen so wie gerade eben in Post #139.

Haha, der war gut. Du machst seit 2 Seiten nichts anderes als sagen Google ist schuld das es jetzt noch Android Geräte gibt die unsicher sind und lässt dabei komplett aussen vor das die ganzen Hersteller hier immer noch die Versionen für ihre Geräte anpassen und freigeben müssen und dann darf man immer noch auf das Rollout der Provider warten.

Das versuche ich dir seit 2 Seiten zu erklären aber das ignoriert du bekommt oder es ist dir einfach egal.

Du winkst also das Apple Problem ab mit den Argument andere sind viel schlimmer... So liest sich das zwischen den Zeilen, wenn du das nicht sagen willst. Solltest du es anders Formulieren, so das eine solche Interpretation deiner Beiträge man ausschließen kann.

Dann dein Argument von Post 139 ist eine auch reine Vermutung, das die alten Versionen auch einen Fix bekommen. Da Apple schon mal einen Fix für eine Veraltete iOS Version gebracht hat, das hat nichts mit einen Handfesten beweis zu tun. Das sie es diesmal wieder so machen werden...

Dann schreibe ich kein hätte, könnte und wollte. Sondern ich schreibe wie es ist, Apple hat mit 10.10.3 versucht diese Lücke zuschließen jedoch kann es umgangen werden und selbst in 10.10.4 Beta haben sie es wieder versucht aber auch hier kann es umgangen werden. So steht es in den Link von Heise welchen @Paganethos gepostet hat. Somit ist das Problem nicht behoben und ob es mit der Final 10.10.4 behoben ist, weis aktuell auch noch niemand.

Ein Zugeständnis muss ich machen und zwar das Apple Aktiv geworden ist und an den Problem arbeitet, aber da der erste Versuch mit 10.10.3 nicht geklappt hat und dieses Update erst in April veröffentlicht wurde ist es immer noch schlimm genug das Apple 7 Monate sich Zeit gelassen hat und dann auch noch ohne erfolg...

Das es in iOS versucht wurde zu beheben steht in den Artikel auf Heise leider nichts. Ob also 8.4 die Lücke schließt ist auch unbekannt bis jetzt.

Das hast du ja verstanden und da widersprichst du dir selber.

Na, ich widerspreche mir selbst nicht. Ich habe jegliche vergessen meinen Beitrag mit einen edit zu verzieren.

So das man sieht das er 2 Absatz erst in Nachhin hinzugefügt wurde von mir. So gesehen ist es gut, das Apple dran arbeitet aber der erste Versuch hat leider schon 7 Monate gedauert und er war erfolglos...

Im Apfeltalk Artikel selbst fehlt der aber dieser Hinweis das mit 10.10.3 es schon versucht wurde, was ich ziemlich schade finde. Denn ich will eigentlich nicht auf 10 Seiten mir die gleiche News durch lesen um dann wirklich alle Informationen zusammen zuhaben.

 

[rootie]

Dann dein Argument von Post 139 ist eine auch reine Vermutung, das die alten Versionen auch einen Fix bekommen. Da Apple schon mal einen Fix für eine Veraltete iOS Version gebracht hat, das hat nichts mit einen Handfesten beweis zu tun. Das sie es diesmal wieder so machen werden...

Siehst Du, Du beweist es schon wieder. Du legst mir einfach was in den Mund, was ich niemals gesagt habe. Ich habe gesagt, dass es in der Vergangenheit mindestens EINMAL so war, dass Apple eigentlich nicht mehr unterstützte iOS-Versionen noch einmal gepatcht hat. Ich habe aber NICHT gesagt, dass ich damit irgendwas beweisen will oder dass sie es dieses Mal wieder tun werden. Ich persönlich denke nur, dass sie es wieder machen werden, wenn die Sicherheitslücke wirklich so gravierend sein sollte. Das ist aber nur meine ureigene Meinung und sonst nix!

Also lies Dir bitte meine Postings genau durch und vermeide zukünftig, irgend etwas reinzuinterpretieren, das nicht da steht. Genau das ist nämlich das Problem des gesamten Threads. Es wird interpretiert und interpretiert und interpretiert. Aber keiner von den "gescheiten Leuten" hat eigentlich eine Ahnung, was bei Apple wirklich intern passiert und wie weit sie sind und wie sie das Problem lösen werden.

 

[u0679]

Es wird interpretiert und interpretiert und interpretiert. Aber keiner von den "gescheiten Leuten" hat eigentlich eine Ahnung, was bei Apple wirklich intern passiert und wie weit sie sind und wie sie das Problem lösen werden.

Und das gleiche gilt für Google, Samsung, Microsoft, Ubuntu.........

 

[rootie]

Ja da hast Du definitiv Recht!

 

[Scotch]

Aber Apple fixt die Fehler wenigstens früher oder später.

Eher spaeter. Und das ist hier das Problem - vor allem bei Apple, bei denen scheinbar kein Manager mehr zwei Saetze sagen kann, ohne zu betonen, wie sehr ihnen die Sicherheit der Systeme und unsere Privatsphaere am Herzen liegt.

 

[Paganethos]

Im Apfeltalk Artikel selbst fehlt der aber dieser Hinweis das mit 10.10.3 es schon versucht wurde, was ich ziemlich schade finde. Denn ich will eigentlich nicht auf 10 Seiten mir die gleiche News durch lesen um dann wirklich alle Informationen zusammen zuhaben.

Sag ich doch schon lange, die Redaktionelle Qualität ist nicht sehr hoch. Man verweist ja sogar auf den heise.de Artikel aber versäumt es, wenigstens die wichtigsten Infos daraus zusammen zu fassen. Fail. Die meisten Artikel hier in der Rubrik "News" sind sehr oberflächlich und oft auch reisserisch, vor allem die Überschriften.

Da drängt sich der Verdacht auf, dass es vordergründig um das generieren von Klicks geht und nicht darum, zu informieren.

 

[rootie]

Ja aber @Scotch das ist ja hier genau wieder die Annahme. Wir denken alle "Ja was brauchen die so ewig, bis da mal ein Bugfix rauskommt?". Ich will Apple wirklich nicht in Schutz nehmen, aber solange hier kein Apple-Mitarbeiter auftaucht und sagt "Wir sind so und so weit mit dem Patch" kann man Apple keine Aktionslosigkeit vorschlagen. Ich kann mir sehr gut vorstellen, dass der Bug wirklich schwer zu fixen ist. Ich kann mich natürlich auch täuschen. Mir ist trotzdem ein spät gefixter Bug lieber als gar kein gefixter...

 

[Scotch]

Solange es nur Apple weiß, ist eine Sicherheitslücke nicht relevant, weil sie im absoluten Regelfall von keinem anderen ausgenutzt wird.

Und woher weiss Apple, dass nur sie es wissen? Weil sie noch keiner darauf angesprochen hat oder auf AT noch nicht darueber diskutiert wird?

 

[rootie]

Sie wissen es natürlich gar nicht und genau deswegen denke ich, dass sie mit Hochdruck dran arbeiten.

 

[Scotch]

Glaubst Du ernsthaft, Apple ignoriert solche Sicherheitslücken über Monate hinweg?

Ja. Deshalb dieser thread.

Oder glaubst du ernsthaft, die haben einen Dialog mit den Forschern, teilen diesen mit "Wir arbeiten mit Hochdruck an einer Loesung, sind aber nicht soweit - bitte haltet noch ein bisschen den Mund" und die gehen dann mit "Leider keinerlei Reaktion von Apple" an die Presse???

 

[Mitglied 105235]

@rootie, da du anscheinend nicht weist was du schreibst hier mal dien Beiträge direkt übereinander...

Ich mache nichts anderes als die Argumente und angeblichen Begründungen der anderen zu widerlegen so wie gerade eben in Post #139.

Häh? Alle Geräte bis zurück zum iPhone 4s erhalten das Update. Und es wäre nicht das erste Mal, dass Apple eine eigentlich nicht mehr supportete Version noch updatet! So geschehen mit dem "goto fail" Bug bei iOS 6. Dann würden sogar das iPhone 4 und die alten iPads noch gepatcht werden.

Du hast geschrieben das du mit den Post 139 die unsere Argumente und angeblichen Begründungen wieder legt hast.

Du hast mit diesen Post aber nichts widerlegt du hast eine reine Vermutung aufgestellt aufgrund von einer einmaligen Erfahrung. Aber warum versuch ich es überhaupt noch dir zu sagen, da kann ich genau so gut mit meine Wand sprechen.

Also lies Dir bitte meine Postings genau durch und vermeide zukünftig, irgend etwas reinzuinterpretieren, das nicht da steht. Genau das ist nämlich das Problem des gesamten Threads. Es wird interpretiert und interpretiert und interpretiert. Aber keiner von den "gescheiten Leuten" hat eigentlich eine Ahnung, was bei Apple wirklich intern passiert und wie weit sie sind und wie sie das Problem lösen werden.

Lies du eher deine eigenen Beiträge nochmal durch und schau ob da wirklich das steht was du sagen willst, außer du formulierst es mit Absicht so das du in beide Richtungen einen Abgang machen kannst um definitiv in recht zu sein.


Es sollte dir doch zeigen das einige User dir widersprechen das du wohl doch nicht in recht bist oder?

 

[Scotch]

Woher wollt Ihr denn alle wissen, dass Apple nicht an dem Problem seit Oktober arbeitet? Das ist einfach nur eine reine Fehlinterpretation.

Und was hindert Apple daran zu sagen "Wir arbeiten daran - dauert noch ein bisschen und bis dahin seid euch dieses Problems bewusst und handelt entsprechend"?

Es wird ja nun der Umgang mit Sicherheitsluecken kritisiert und nicht die Tatsache, dass es eine gibt an sich. Und diese Diskussion bzgl. Apples Umgang mit solchen Themen ist auch nicht gerade die erste ihrer Art.

 

[Martin Wendel]

Man verweist ja sogar auf den heise.de Artikel aber versäumt es, wenigstens die wichtigsten Infos daraus zusammen zu fassen.

Nein, es wird nicht auf den Heise-Artikel verwiesen. Deren Artikel ist fast parallel veröffentlicht worden. Und was den versuchten "Fix" von Apple angeht, ist der imho keine Erwähnung Wert. a) Weil er nur einen kleinen Teil des Problems betrifft und b) weil er wirkungslos ist. Aber ich werde den Titel mal anpassen.

We checked the most recent OS X 10.10.3 and beta version 10.10.4 and found that they attempted to address the iCloud issue using a 9-digit random number as accountName. However, the account- Name attribute for other services, e.g. Gmail, are still the user’s email address. Most importantly, such protection, based upon a secret attribute name, does not work when the attacker reads the attribute names of an existing item and then deletes it to create a clone under its control, a new problem we discovered after the first keychain vulnerability report and are helping Apple fix it.

 

[u0679]

Da drängt sich der Verdacht auf, dass es vordergründig um das generieren von Klicks geht und nicht darum, zu informieren.

Halte ich für eine sehr vage Behauptung. Ein Artikel, egal, wo und von wem geschrieben ist immer auch subjektiv, sowohl in der Wahrnehmung durch den Leser, als auch beim schreiben durch den Autor/Journalisten. Das macht unsere Pressefreiheit auch aus, dass der Leser sich durch unterschiedliche Medien selber ein Bild macht. Aber wir schweifen ab.

Sorry für OT. Zurück zum Thema der Sicherheitslücken.

 

[Scotch]

Da ist nichts pampig und da verteidige ich kein Apple oder sonst irgendwas.

Du musst mal dringend was fuer deine Selbstreflexion tun.

XARA ist eine Böse Sicherheitslücke und Apple arbeitet scheinbar nicht wirklich daran.

Wie kommst du denn darauf?

Aber genau diese Diskussionen muss ich mit den anderen führen, weil diese Sachen annehmen und diese Annahme als wahr voraussetzen.

Du musst gar nichts. Du koenntest dich auch einfach mal 'raus halten. Bis zu deinen "Apple ist toll und Google ist doof" Beitraegen war die Diskussion hier ueberwiegend sachlich.

Ich mache nichts anderes als die Argumente und angeblichen Begründungen der anderen zu widerlegen so wie gerade eben in Post #139.

Du widerlegst nichts. Du stellst Behauptungen auf.

Ich verstehe es wirklich nicht.

Unter der Annahme, dass der durchschnittliche Benutzer nicht mehrere Passwort-Safes verwendet, kann er an einer Stelle alle (oder viele) relevante Passwoerter abgreifen. Und bevor du jetzt wieder mit deinen Theorien ueber unknackbare Datenbanken auf deinem Geraet kommst (den Beitrag hatte ich mir eigentlich vor ein paar Seiten verkniffen, aber es muss wohl sein Hausaufgaben machen und mal recherchieren wie Cyperkriminelle solche Luecken ausnutzen. Die Angriffsvektoren sind ein "bisschen" komplexer, als nur eine einzige Luecke & Methode zu benutzen. Einfach mal der Fatansie freien Lauf lassen, wie man mit dieser Luecke, einigen anderen aktuellen drive-by Luecken und geschicktem Phishing an deine Passwoerter kommt.