Feature XARA: Apple soll schwerwiegende Sicherheitslücke in OS X und iOS seit Monaten bekannt sein

[raven]

heise sagt: http://www.heise.de/newsticker/meld...assword-bestaetigt-Schwachstelle-2717095.html

Als Update ergänzt.

 

[AgenturRiegler]

warum regt man sich so über diese lücke auf wenn doch klar ist das kein system 100% sicherheit bieten kann. schliesst man diese lpcke werden irgendwelche forscher wieder was anderes finden. findet man heute keine lücke im andrioid system pfeift kein schwein danach, aber wehe bei ios oder osx findet sich ein loch welches ein ganzes team anforschern minatelang beschäftigte. wer dafor angst sollte sich von elektronik völlig befreien.

 

[rootie]

Hier nochmal ein aktueller Link zu MacRumors: http://www.macrumors.com/2015/06/18/what-you-need-to-know-about-xara-exploits/ - wenn man nur vertrauenswürdige (ja ich weiß - dehnbarer Begriff und so...) Apps lädt, kann einem eigentlich gar nix passieren.

 

[Martin Wendel]

Nur hieß es halt bisher, (Mac) App Store wäre eine vertrauenswürdige Quelle.

 

[VIC20]

… Beliebige Software, die die Passwörter aller E-Mails-Accounts mit normalen Nutzerrechten auslesen kann - das ist der absolute Super-GAU. Dadurch kann man die meisten anderen Passwörter zurücksetzen lassen und Identitäten kapern. Und das ganze ist schon seit Ewigkeiten möglich und könnte relativ unbemerkt ausgenutzt worden sein. …

Meinen Kommentar kann ich so nicht stehen lassen. Vorhandene Einträge im Schlüsselbund können unbeabsichtigt nicht ausgelesen werden.

 

[rootie]

Nur hieß es halt bisher, (Mac) App Store wäre eine vertrauenswürdige Quelle.

Vertrauenswürdig insoweit, dass Apple halt irgendwelche Scanner rüberlaufen lässt, die verbotene APIs und sonst was prüft. Ich denke, ein jeder Entwickler hatte immer schön die Möglichkeit, nicht-konforme Apps in den Store zu schleusen mit genug Aufwand. Weil man das auch glaub ich gar nicht zu 100% verhindern kann (unabhängig von XARA jetzt). Das sieht man ja an den diversen Emulatoren, die es an der Prüfung vorbei in den Store geschafft haben. Was wenn die bösartig gewesen wären?

 

[eerie]

Koenntest du praezsisieren, was genau du belegt haben moechtest?

Du schreibst ja dass iOS und OSX sicherer sind und die Anzahl der schweren Lücken geringer ist als z.B. in Windows oder Android.
Gibt es dazu auch offizielle Zahlen, Statistiken oder was auch immer die diese Aussage bestätigen?

 

[cashYOU]

Habe jetzt folgendes gemacht, auch wenn es unwahrscheinlich ist, dass ich "ausgespäht" wurde:

- Schlüsselbundverwaltung wird vorerst nur für unwichtige Dinge benutzt
- keine "3rd party" Passwortverwaltungsprogramme wie 1password als Safari-Addon benutzen
-wichtige Passwörter geändert


Irgendwas vergessen? Anmerkung an die Mods: fände es gut wenn eine separate News erstellt wird, wie man sich jetzt am besten schützt.

 

[tjp]

Es geht darum, wann die Öffentlichkeit davon erfährt und nicht Apple. Solange es nur Apple weiß, ist eine Sicherheitslücke nicht relevant, weil sie im absoluten Regelfall von keinem anderen ausgenutzt wird.

Selten so einen Nonsense gelesen. Es gibt einen Schwarzmarkt für Zeroday Exploits, auf denen solche Sicherheitslücken gehandelt werden.

 

[tjp]

Was würdest du denn tun? Der Welt mitteilen, dass deine Geräte unsicher sind?

Ja, das ist das übliche Vorgehen bei anderen Firmen, in der Regel ist das mit einem Workaround verbunden oder einem Hotfix, so daß diese Lücke nicht mehr ausgenutzt werden kann

Im konkreten Fall heißt das, daß die Nutzer eben auf Anwendungen wie 1Password komplett verzichten müssen, weil die Sicherheit nur so hergestellt werden kann.

 

[Paganethos]

Ja, das ist das übliche Vorgehen bei anderen Firmen, in der Regel ist das mit einem Workaround verbunden oder einem Hotfix, so daß diese Lücke nicht mehr ausgenutzt werden kann

Im konkreten Fall heißt das, daß die Nutzer eben auf Anwendungen wie 1Password komplett verzichten müssen, weil die Sicherheit nur so hergestellt werden kann.

Und was, wenn noch kein Workaround oder Hotfix verfügbar ist?

 

[u0679]

Ein Workaround sollte es immer geben, Nämlich die entsprechende Software bis zum Fix nicht zu nutzen. Tut weh, aber wäre ein Workaround.

 

[tjp]

Und das gleiche gilt für Google, Samsung, Microsoft, Ubuntu.........

Nein, das stimmt so nicht. Es wird bei anderen Firmen wird genau dokumentiert welche der CERT Fehler behoben worden sind. Findet man ähnliche Informationen bei Apple in den Release Notes?

Ja aber @Scotch das ist ja hier genau wieder die Annahme. Wir denken alle "Ja was brauchen die so ewig, bis da mal ein Bugfix rauskommt?".

Es geht darum, daß Apple zeitnah einen Workaround veröffentlichen muß, damit die Nutzer entsprechend handeln können, so daß der Exploit nicht ausgenutzt werden kann. Das heißt im Zweifelsfall auch den kompletten Verzicht auf 1Password u.ä. Programme.

Sie wissen es natürlich gar nicht und genau deswegen denke ich, dass sie mit Hochdruck dran arbeiten.

Realsatire!

Und wem sollte so ein Geschwafel was bringen?

Dem Nutzer bringt das mehr Sicherheit, weil er nicht mehr Verfahren nutzt die inhärent unsicher sind. Aktuell ist dieser Angriffsvektor mindestens seit acht Monaten bekannt, womöglich ist er auf dem Schwarzmarkt schon länger bekannt. Während dieser acht Monate hätten Passwörter von vielen Nutzer abgegriffen werden können, mit nahezu unkalkulierbaren finanziellen Schäden.

Was für simple Passwörter nutzen denn einige hier für ihre E-Mail-Accounts? Oder wie kommen die komplett ohne Nutzung des Schlüsselbunds aus? Meine sind 50 wirre Zeichen, das kann sich kein Mensch jemals merken

Man kann sich lange komplizierte Passwörter merken, wenn man das wirklich will. In Hochsicherheitsbereichen ist das auch üblich, da könntest Du Dir das nie erlauben ein Passwort in eine Passwortdatenbank einzutragen, da solche Software inhärent unsicher sind.

Und was, wenn noch kein Workaround oder Hotfix verfügbar ist?

Es gibt sehr wenige Sicherheitslücken, die in diese Kategorie fallen. Im Extremfall muß man entsprechend lange auf die Nutzung verzichten.

 

[Scotch]

Wie soll man ohne Nutzung des Schlüsselbunds mit Mail E-Mails empfangen?

Mal so ein paar (uralte) Gedanken zum Thema "sichere Passwörter und wie ich sie mir merke".

"Passwort" aufschreiben, bei Bedarf auch in Evernote & Co. Das echte Passwort ist dann das notierte und jedes Zeichen wird z.B. um eins hoch gezählt, oder Gross- durch Kleinschreibung ersetzt usw. Beispiel:

Notiert: fgdh54628TRfejd
Passwort: ghei65739USghke oder auch FGDH54628trFEJD oder GHEI65739usGHKE usw.

Den Zettel kann man also sogar an seinen Monitor pappen.

Eine andere Alternative ist, sich einen Satz zu merken und die Anfangsbuchstaben zu verwenden. Nehmen wir einen echten Klassiker (und damit sehr ungeeignet):

Phrase: "Ein Ring, sie zu knechten, sie alle zu finden, ins Dunkel zu treiben und ewig zu binden."

Passwort: ER,szk,sazf,iDztuezb.

Man kann die Passwörter noch verstärken, wenn man eine Fremdsprache verwendet (z.B. eine französische Phrase für einen deutschen Benutzer), oder (Achtung: Keine Ironie!) - wenn man's kann bzw. sich merken kann - eine gut dokumentierte Fantasiesprache zu nutzen. Elbisch, die schwarze Sprache oder Klingonisch bieten sich an.

Eine andere probate Methode ist, sich eigentlich triviale Passwörter zu merken, die Zahlen enthalten und dann die numerischen Werte mit einer nur einem selbst bekannten Formel zu modifizieren (auch diese Passwörter kann man notieren). Beispiel (Name plus Geburtsdatum):

LieschenMüller_01011980

Formel: Konvertiere in Hex (Ja, ich weiss, triviales Beispiel! Ich würd' 'ne geometrische Reihe oder ein Flächenintegral nehmen, mit den Datumselementen (Tag, Monat, Jahr) als Start-, End- und Seed-Werte, aber bis ich das hier erklärt habe... )

Passwort: LieschenMüller_F710C

 

[Scotch]

Du schreibst ja dass iOS und OSX sicherer sind und die Anzahl der schweren Lücken geringer ist als z.B. in Windows oder Android.

Ja, die waren hier im thread auch schon irgendwo verlinkt.

Der wesentliche Unterschied ist aber die "Eingangskontrolle" von Apple durch den App Store Zwang, bzw. unter OS X den Zwang, nicht registrierte Quellen explizit zuzulassen. Auch das ist nicht perfekt (wie man sieht), aber unter anderen Systemen gibt es nichts vergleichbares. Es führt unter anderem dazu, dass man einer App immer einen Entwickler zuordnen kann - Anonymität gibt es da nicht, bzw. man muss schon echten Identitätsdiebstahl betreiben, um einen Fake-Account im App Store aufzusetzen.

Mit den neuen OS Versionen wird das nochmals ausgebaut (wie gesagt: Mal die Xcode 7 Videos von der WWDC anschauen, da werden die Methoden erläutert.)

 

[maddi06]

fgdh54628TRfejd

FGDH54628tsFEJD

Dit blick ich nicht... Kannst du das evtl. noch mal näher erläutern, welche Formel du da angewendet hattest?

 

[raven]

Beispiel:
Notiert: W3g
Passwort: w3r_D3nw3gd3rw4rh31tg3t_g3htd3nw3g_4ll31n3

Und nein ich nutze nirgend dieses Passswort. findig user sehen sofort was es ist.

 

[Scotch]

Kannst du das evtl. noch mal näher erläutern, welche Formel du da angewendet hattest?

Tippfehler. Muss FGDH54628trFEJD sein. Hab's korrigiert.

 

[Bovary]

@raven Gesellschaft ist aber auch ganz nett.

Und da hört es für mich mit diesen ganzen Passwortformeln und Phrasen und weiß der Kukuck was auf. Ich will für jeden Dienst ein eigenes Passwort. Dieses ist u.U. des Öfteren mal zu wechseln. Auch wenn ich mir ein super System ausdenke, über kurz oder lang ist das bei einer Vielzahl Accounts m.E. nicht händelbar.

Zettel als Merkhilfe sind auch nur bedingt geeignet. Hat man ja nicht immer mit oder bei mir zB. wäre der nach 2 Wochen unauffindbar.
Wirklich wichtige Dinge (z.B. Banking, E-Mail Zugang) habe ich sicher im Kopf. Der Rest kommt in einen Passwortmanager. Dafür habe ich nun wirklich keine Ressourcen auf der biologischen Festplatte.

 

[VIC20]

OK, ihr gebt also bei jedem Empfang von E-Mails das Kennwort neu ein? Immer, grundsätzlich und auf allen Geräten?