Feature XARA: Apple soll schwerwiegende Sicherheitslücke in OS X und iOS seit Monaten bekannt sein

[eerie]

iOS und OS X sind auch nach wie vor "sicherer" als z.B. Windows oder Android - zumindest, wenn man nach Anzahl und Schwere der Lücken gehen will.

Was ist sicherer: Ein Windows mit 50 gepatchten Lücken, oder ein OS X mit zwei offenen?

Kann man das auch belegen?

 

[rootie]

Und nun ?
Du willst einfach nicht die unterschwelligen Botschaften erkennen,was kein Wunder ist.

Da gibt es keine Botschaften zu erkennen. Ich klinke mich hier aus dieser Diskussion aus, wie so viele andere auch. Das Niveau ist mir mit Dir - sorry - einfach zu niedrig.

 

[marcozingel]

Da gibt es keine Botschaften zu erkennen. Ich klinke mich hier aus dieser Diskussion aus, wie so viele andere auch. Das Niveau ist mir mit Dir - sorry - einfach zu niedrig.

Na das DAS bloss nicht an mir liegt.
Ich meine das freundlich und kann Dir gern Diagnosen per PN nennen.
Deine Form von "Diskussion" nennt sich Monolog.

 

[Koopa]

Ich befürchte, je komplexer IT wird, desto angreifbarer wird es auch. Von daher ist nur sicher, das nichts sicher ist. Als Endanwender oder Admin kann man nur versuchen, auf dem aktuellsten Stand zu bleiben. Eine Sicherheitsgarantie ist auch das nicht. Irgendwie deprimierend.

Es sollte einem immer klar sein, dass nichts sicher ist. Man kann es dem Angreifer nur schwerer machen.

 

[rootie]

So ist es. Wenn aber eine Sicherheitslücke klafft, dann hat man als Anwender oder Admin auch keine Chance bis die Lücke entsprechend gefixt ist.

 

[Koopa]

So ist es. Wenn aber eine Sicherheitslücke klafft, dann hat man als Anwender oder Admin auch keine Chance bis die Lücke entsprechend gefixt ist.

Doch Prävention, indem man zB. auf blöde Erfindungen wie 1Password verzichtet

 

[rootie]

Was ist an 1Password blöd? Ich will nicht bashen, ich will es nur verstehen.

 

[MacMac512]

Apple arbeitet mit Hochdruck seit September an der Lösung des Problems. Offensichtlich ist es etwas, das wirklich viele und weitreichende Änderungen vonnöten macht bzw. ganz viel Testen erfordert, damit nicht durch einen Bug auf einmal sämtliche in der Keychain gespeicherten Passwörter weg sind. Was glaubst was da los wäre?

Mac ist sicher! Da mit die Lücke ausgenutzt werden kann muss Benutzer erst
manipulierte Programm installieren.

Wenn Apple wirklich handeln wollen würde, wieso lassen sie dann diese Apps, die bereits diesen Fehler aktiv ausnutzen in die App Stores?

Wohlgemerkt wird damit geworben, dass es besonders sicher ist, nur die Apps aus dem MAS zu installieren bzw. von zertifizierten Entwicklern, siehe Systemeinstellung.

Wenn der Fehler so schwerwiegend ist, was ja durchaus sein kann, dann sollte Apple aber auch sofort diese Apps entfernen und neue Apps damit gar nicht erst neu zulassen! Punkt!

 

[rootie]

Wenn automatisch erkannt werden kann, welche App betroffen ist, dann hast Du definitiv Recht. Ist dem so? Oder habe ich was überlesen?

 

[Koopa]

Was ist an 1Password blöd? Ich will nicht bashen, ich will es nur verstehen.

Es ist einfach keine gute Idee Passwörter elektronisch abgespeichert zu haben. Auf einem Stück Papier sind die viel besser ausgehoben als auf einem Geräte welches immer mit dem Internet verbunden ist.

 

[MacMac512]

Wenn automatisch erkannt werden kann, welche App betroffen ist, dann hast Du definitiv Recht. Ist dem so? Oder habe ich was überlesen?

Naja, die Sicherheitslücke ist seit 6 Monaten bekannt und für alle Apps im App Store gibt es eine gründliche Prüfung, dass sie schadfrei sind. Wenn Apple das Problem kennt bezieht es sich ja wohl auf eine bestimmte Passage im Code. Da man diese Eigenschaft des Codes kennt, sollte man es auch leicht feststellen können, dass es ein Problem geben könnte. Richtig?

Selbst wenn der Verdacht bestünde, würde ich die App eben nicht freigeben. Besonders nicht als extrem vertrauenswürdig kennzeichnen, was sich ja aus der Veröffentlichung im MAS ergibt.

 

[rootie]

Naja das ist nicht ganz so einfach wie Du Dir das vorstellen magst. Man kann eine Schadfunktion auch ganz unauffällig einbauen. Dass Apple da einiges übersieht, sieht man ja schon an den diversen Apps, die vorne rum Taschenrechner waren und hintenrum einen kompletten SNES-Emulator eingebaut haben. Wenn SO etwas durch die Prüfung geht, geht auch so eine Schad-App durch, wenn man es nur gut genug versteckt.

 

[rootie]

Es ist einfach keine gute Idee Passwörter elektronisch abgespeichert zu haben. Auf einem Stück Papier sind die viel besser ausgehoben als auf einem Geräte welches immer mit dem Internet verbunden ist.

1Password ist die perfekte Mischung aus Bequemlichkeit und Sicherheit. Klar muss ich 1Password vertrauen, dass es nicht Schindluder treibt mit meinen Daten. Da ich für dieses Tool aber nicht zwangsweise eine Internetverbindung brauche, stufe ich es als ausreichend sicher ein. Was nicht nach Hause telefonieren kann, ist erst mal (für mich) nicht so gefährlich.

Etwas anderes ist es mit LastPass, wo man irgendwie so einen Online-Account braucht. Das ist natürlich extrem gefährlich.

 

[AgenturRiegler]

das muss aber auch schon eine wahnsinnsmörderapp. habe kaum apps instaliert da das iphone von sich aus gut funktioniert. also genau diese eine app welche im appstore durchgerutscht ist, zu instalieren , wird schon sehr gering sein. im allgemeinen muss man aber festhalten das ein iphone noch immer um einges besser geschützt ist als telephone anderer anbieter. sicherheits relevante daten rrägt man ihnehin nicht am telefon spazieren. bisher haben sich obwohl die app im appstore ausser den entwicklern keine personen gemledet die geschädigt wurden..

 

[Koopa]

Es geht nicht um das Vertrauen in 1Password, sondern um Schadsoftware die nach 1Password sucht, da sie so ganz bequem Passwörter, Kreditkarten usw findet...

 

[Motul11]

Es ist aber nicht nur Apple betroffen mit einer diesen Sicherheitslücken.. Auch ein anderer Hersteller.

 

[beeker2.0]

Langsam aber sicher geht mir die responsiveness von apple bei Sicherheitspatches auf den Wecker. Da können sie aber wirklich mal Gas geben.

 

[rootie]

Es geht nicht um das Vertrauen in 1Password, sondern um Schadsoftware die nach 1Password sucht, da sie so ganz bequem Passwörter, Kreditkarten usw findet...

Und was wollen die mit dem verschlüsselten 1Password-Container anfangen? Da bin ich jetzt mal gespannt...

 

[KALLT]

Ich denke schon, dass Apple da mit Hockdruck dran arbeitet. Da es aber beide Systeme IOS und OSX betrifft denke ich, dass es ein grundlegendes Problem in Grundfunktionen des Systems ist. Da ist das Beheben mit Sicherheit nicht einfach. Was wäre hier für ein Aufschrei, wenn auf einmal 1Password die Passwörter nicht mehr automatisch ausfüllen könnte. Und das Apple über eine noch nicht geschlossene Lücke keine Informationen an die Öffentlichkeit dringen lässt ist ja wohl auch klar!
Die Systeme werden einfach zu komplex für die Entwickler. Sie können die Mechanismen in ihren Programmen genau so wenig überblicken wie die Ökonomen in Ihrer Marktwirtschaft mit der globalen Verzahnung.

Trotzdem verhält sich Apple nicht vorbildlich. Kunden werden nicht gewarnt, es wird nirgendwo drauf hingewiesen, Kommentare werden nicht gegeben. Wenn tatsächlich auch der App Store betroffen ist, sollte Apple sowieso schonmal verschärft danach ausschau halten und verdächtige Apps direkt rauswerfen. Die Tatsache, dass Apple wie üblich zu allem den Mund hält, nervt mich vielleicht noch am Allermeisten. Außerhalb von der WWDC hat man zu Apple irgendwie kaum eine Bindung.

Und was wollen die mit dem verschlüsselten 1Password-Container anfangen? Da bin ich jetzt mal gespannt...

In der News ist von 'Zugriff auf Passwörter' die Rede. Das hört sich aber deutlich schlimmer an...

Nachtrag: laut AgileBits:

The threat is that a malicious Mac app, if it gets the timing right, can pretend to be 1Password Mini as far as the 1Password Browser extension is concerned. It can therefore collect Login details sent from the 1Password Browser Extension to the fake 1Password Mini. This, it is possible to install a malicious app that might be able to put itself in a position to capture passwords sent from the browser to 1Password.

Note that their attack does not gain full access to your 1Password data, but only to those passwords being sent from the browser to 1Password Mini. In this sense, it is getting the same sort of information that a malicious browser extension might get, whether or not you use 1Password.

Es werden also keine Kennwörter aus dem Tresor ausgelesen, sondern sie werden von einem anderen Programm über die Safari-Extension abgefangen.

 

[u0679]

Mac ist sicher!.

Dem wage ich zu widersprechen. Es mag sicherer sein im Vergleich mit Windows, aber nicht 100% Sicher. Das hat auch gar nichts mit bashen zu tun. Im Gegenteil, ich bin bewusst von Windows zu Mac gewechselt und begeistert. Aber trotz allem, Objektivität sollte man auch bei seinem Lieblingsanbieter und Lieblings OS walten lassen.