Gib Gas, Apple!

Bei Apple ist man beschäftigt mit dem zufälligen und nicht nachvollziehbaren Rejecten von Apps. Für das Entfernen von Sicherheitslöchern ist kein Personal da.

wieder einer jener kleinen Steine der langfristig android auf die überholspur bringen wird...
die kommunity bei einem GNU Projekt kann doch schneller reagieren als ein zugekleisterter Dampfer wie Apple - ist schade, ich verfolge mit gr. bedauern die produktpolitik dieser Firma ...
altes_Ego

Android Überholspur? Die sind ja noch am Einfädeln. Momentan ist ja Android ein Witz, leider, denn so kann Apple sich erst mal noch ausruhen.

... bis jetzt habe ich noch kein einzigen bericht gelesen welch ein iphone user ein opfer dieses "sms angriff" wurde....

bla bla bla, die reden nur immer statt dass es wirklich passiert

Mike Sina:

Witzbold. Bisher ist die genaue Methode dafür ja auch geheimgehalten worden bzw. erst heute wird im Rahmen der Black Hat-Konferenz über Details öffentlich gesprochen. Apple weiß seit Anfang Juli über diese Lücke Bescheid und es gibt ein Stillschweigeabkommen zwischen dem Entdecker und Apple über die Details, welches möglicherweise heute mit seinem diesbzgl. Vortrag im Rahmen der Konferenz seine Wirkung verliert, sollte er ausreichend bzw. zuviele Details verraten .

Meinst Du, Apple sollte erstmal abwarten, bis das Kind in den Brunnen gefallen ist und erste Berichte über erfolgreiche Angriffsversuche über diesen SMS-Vektor bei den iPhone-Benutzern dir Runde machen und dann erst tätig werden? Oder sollte Apple nicht lieber deutlich vorher tätig werden, am besten sogar noch bevor überhaupt auf so einer Sicherheits-Konferenz im Rahmen der Öffentlichkeit drüber gesprochen und das Thema für potentielle Angreifer erst recht attraktiv gemacht wird, eben weil die Lücken nun öffentlich und breit bekannt sind?

Nun, Apple muss was die Sicherheit angeht noch was tun. Auf dem Desktop Markt wird eher Windows angegriffen, weil es ein breiteres Angriffsfeld bietet. Auf dem Smartphone Markt ist aber Apple an der Front und muss endlich auch mal begreifen, dass Lippenbekenntnisse und halblebige Versuche das System abzudichten nicht ausreichen. Man siehe nur das Katz und Maus Spiel mit den Jailbreaks. MS musste auch schmerzlich lernen, dass Sicherheit ein zentraler Bestandteil des Systems sein muss und nicht vernachlässigt werden darf.

sierkb Vergiss es. Der iPhone-Poser als solches will wohl einfach so etwas nicht verstehen und freut sich über die bunten Oberfläche so lange nix passiert ist, Gespür für Gefahr hat er keins.

Wir haben noch nicht aufgehört über die quasi nutzlose Hardwareverschlüsselung des iPhone 3G S zu lachen, da bringt Apple schon die nächste Nummer.

Ist dass "Datenauslesen oder Entfernen" durch die Attacke auf einem iPhone denn gelungen? Oder handelt es sich nur um eine theoretische Wahrscheinlichkeit?

Am Ende geht's dann nur auf iPhones mit Jailbrake;-)

Oh, oh, Apple...das ist nicht gut. Die bauen zwar immer noch den coolsten Scheiss aber wenn ich immer mitbekomme, wer wann Sicherheitsupdates herrausbringt fühle ich mich weder als iPhone, noch als Mac User sehr bevorteiligt. Und das obwohl Apple damit wirbt, dass sie so einen guten Support (in "allen" Bereichen) hätten.
Da muss sich etwas tun!

Also ich denke auch das auf Dauer - wenn Apple nichts dagegen unternimmt - das wirklich zu einem Problem wird.

Im Desktop Bereich scheint OSx ja immer noch eine Nische zu sein, bei den wenigen % Marktanteil.
Beim iPhone denke ich wird es auf Dauer anders aussehen.

Mal schauen was noch passiert,
Das Sicherheitsverständnis in Sachen Viren ist ja eh - nun ja - gering bzw. wird was das OSX angeht vollkommen ignoriert.

ExMacRabbitPro:

U.a. in den Artikeln unter
Forbes: How To Hijack 'Every iPhone In The World' ,
heise: Multi-Part-SMS stoppt das iPhone ,
cnet news: Researchers attack my iPhone via SMS ,
heise: Angeblich kritische Sicherheitslücke bei SMS im iPhone

steht grob umrissen aber doch recht deutlich drin, was diesbzgl. wie gemacht und ausgenutzt werden kann, und offenbar kann der Entdecker das auch jederzeit demonstrieren, wie es geht. Das Problem stellt sich als wenig theoretisch und als ziemlich konkret und recht leicht auszunutzen dar.

Mal ehrlich: Wurde die Vorgehensweise denn wirklich so präsentiert, dass sie nun für jedermann reproduzierbar ist?
Kann ich jetzt nach 10 Minuten Lektüre der obigen Links die iPhones im Bekanntenkreis aussagen? m.E. nicht (ich lasse mich aber gern eines besseren belehren)

Ich kann schon irgendwie nachvollziehen, dass Apple sich seine FW-Update-Zyklen nicht von Hacker-Konferenzen diktieren lassen will.
3.1. steht wohl eh kurz vor dem Release. Dann will man es besser noch fix rund machen, bevor man dafür extra ein 3.1.1. rausbringen muss.
Außerdem soll sich die Rezeption des Update natürlich nicht auf das SMS-Leak konzentrieren, sondern auf die schönen neuen Funktionen, die es mitbringt.
Sonst könnte man ja bald den Eindruck bekommen, Apple-User müssten ständig Updates ziehen,
weil immer neue kritische Sicherheitslücken der/s SW/FW/OS bekannt werden. Ich les schon die Schlagzeilen "iPhoneXP"..

Ich glaube Apple steht in diesem Fall vor einem PR-Dilemma, das sie zugegebenermaßen nicht annähernd so gewieft meistern, wie man es sonst von ihnen gewohnt ist.
Als Laie würde ich auch sagen "fix that, yesterday" und hoffe, dass es zumindest in den nächsten Tagen geschieht.
Die generelle Geschwindigkeit, mit der Apple kritische Sicherheitslücken schließt ist auf jeden Fall inakzeptabel.
Das wird sich irgendwann nochmal ganz böse rächen und die Presse wird an diesem Tag ein Schlachtefest veranstalten.

Beat:

Was ist denn ein Jailbrake? Gefängnisbremse?!?

Wie wäre es denn mit 3.0.1?! Von mir aus könnte 3.1 dann auch noch etwas länger auf sich warten lassen.

Auch ein nachvollziehbarer Gedanke..
Passend dazu hab ich grad was bei BasicThinking gelesen:

In der Haut dieses Entwicklers möchte ich wirklich nicht stecken..
Wie soll man denn auf dieser Grundlage arbeiten? Auch hier muss sich _dringend_ etwas tun.

edit: offtopic, ich weiß, sorry..

messmachine:
Sehe ich ähnlich. Apple wohl leider nicht, woraus man durchaus Rückschlüsse darauf ziehen kann, wie wichtig Apple das Thema Sicherheit derzeit ist.

Kann mich jetzt mal jmd beruhigen und sagen, dass man zumindest noch kein HowTo für dieses SMS-Leak bei PirateBay findet
damit ich nicht bei jeder SMS 'ne Panikattacke bekomme und gar präventiv mein iPhone außer Betrieb nehme, bis ein Fix raus ist?

Die Lektüre der Links von sierkb ist nämlich wirklich haarsträubend.

corleone

Gefährlich sind nicht normale User sondern Hacker die darauf aus sind Daten auszuspionieren und diese weiterzuverkaufen.
Wenn die erst mal wissen wie die Lücke auszunutzen ist brauchen die keine 10 Seiten Erklärung.

Apple sollte am iPhone endlich zwischen Feature- und Fehlerbereiniguns-Update und Sicherheits-Update unterscheiden und Sicherheitslücken UMGEHEND beheben, unabhängig davon ob die nächste Version bereits in naher Zukunft veröffentlicht wird.

Das Schließen von Sicherheitslücken sollte OBERSTE Priorität haben und sich nicht an irgendwelche Updatezeitpläne halten. Sobald das Problem bekannt ist hat Apple daran zu arbeiten und wenn die Lösung fertig ist diese umgehend zu verteilen und nicht warten bis das andere Update fertig ist.

Auf dem iPhone wird das komplette Adressbuch, Zugangsdaten, Notizen, Kalendereinträge... gespeichert, das sind für viele sehr sensible Daten.

Ja, sehe ich genauso. Das iPhone ist halt soetwas wie ein kleiner Computer, dementsprechend kann man da auch mehr Updates als bisher rausschicken. Das man dadurch das Gefühl bekommt, man hätte es mit einem "unsicheren" Betriebssytem auf dem iPhone zu tun kann ich zu mindest in meinem fall verneinen. Ich habe mal 2 Jahre lang Ubuntu auf dem Rechner gehabt und da kamen richtig viele Updates. Ich fand das in der Regel meistens gut.

Beim iPhone gibt es keine Updates, es gibt immer nur ein komplettes OS und das scheint nun ein Problem zu sein. Wenn man den Kunden alle paar Tage 200+ MB runterladen lässt, dann nervt das tödlich. Die meisten Anwender, besonders iPhone-Kunden, haben nämlich ein Leben, die treiben sich nicht laufend in Foren zum Thema rum, für die ist jeder Update eher nervig - es sei denn er bringt eine funktionale Verbesserung. Irgendwelche Meldungen zu Sicherheitsproblemen erreichen die meist gar nicht.

Letztlich muss Apple eine saubere Softwareaktualisierung ins iPhone OS bauen, so dass Fehler wie diese SMS-Lücke mit ein paar MB mal eben in ein paar Sekunden gefixt werden können. So lange es das nicht gibt, muss immer ein ganzes OS an alle iPhone/iPod touch Kunden raus und Apple versucht das verständlicherweise so selten wie möglich zu machen.

Dr. Seltsam

Die Möglichkeit einzelne Bestandteile zu aktualisieren hätte Apple durchaus. Ebenso wie Apple Programme auf dem iPhone über iTunes oder direkt aktualisiert wäre das auch für Systembestandteile möglich.

Bei Android gibt es kleine Patches, wenn Apple das nicht schafft. Deren Problem.

Am Samstag wird Apple einen Fix für das SMS Problem über ITunes bereitstellen. Alle Schwarzmaler können sich also wieder beruhigen.

Tiger

Lach, klar, das ist ja meine Rede, nur ist das eben im iPhone OS nicht implementiert, aus welchen Gründen auch immer. Insofern hat Apple die Möglichkeit im iPhone OS derzeit nicht, und deshalb bekommen wir jetzt beim SMS-Fix auch wieder dicke 230 MB.