Forum: Netzwelt
Sicherheitslücke bei Apple-Geräten: Was Sie jetzt über "Pegasus" wissen sollten
SPIEGEL ONLINE

Eine Schadsoftware namens "Pegasus" nutzt gleich drei bislang unbekannte Lücken in Apple-Geräten aus. Wir beantworten die wichtigsten Fragen rund um den spektakulären Hack.

Seite 8 von 8
chrima 27.08.2016, 11:49
70.

Zitat von Willi Wacker
Apple hat die Lücke innerhalb von 10 Tagen gestopft. Für Android ist bekannt, dass alle Versionen unterhalb von 6.x mehrere bekannte Lücken haben, die schon missbraucht werden. Wobei 90% der Hersteller keine Aktualisierung mehr auf 6.x anbieten, selbst wenn die Geräte nur ein Jahr alt sind. Also, wie sagte Herr Nuhr so passend...?
Apple hat die Lücke nicht innerhalb von 10 Tagen gestopft sondern 10 Tage nach dem Bekanntwerden der Lücke.
Die Lücke selbst war laut Artikel über ein Jahr offen.

Und zum Verhalten der Apple-Fan-Boys hier: Diese haben auch schon hämische Kommentare zu Lücken in Linux abgelassen.
Und das obwohl in der Linux-Welt das Stopfen von Zero-Day-Exploits erst 10 Tage nach Bekanntwerden einer Ewigkeit entspricht.

Beitrag melden Antworten / Zitieren
chrima 27.08.2016, 11:53
71.

Zitat von spatenheimer
Ob es klug ist, ein vier Jahre altes, nicht mehr mit Sicherheitsupdates versorgtes Betriebssystem zu benutzen, ist durchaus fraglich.
Och, laut Untersuchungen sind sie heute mit einem Win98 relativ sicher im Netz unterwegs.
Wenn Sie also noch Hardware haben auf der das läuft, können Sie damit ziemlich sicher unterwegs sein.

Beitrag melden Antworten / Zitieren
annett 27.08.2016, 14:28
72.

Zitat von chrima
Och, laut Untersuchungen sind sie heute mit einem Win98 relativ sicher im Netz unterwegs. Wenn Sie also noch Hardware haben auf der das läuft, können Sie damit ziemlich sicher unterwegs sein.
Kann ich nur bestätigen; also mein Win98(SE) war immer schon ohne Virenschutz. Eine externe Untersuchung der Platte hat bisher noch nie einen Befall angezeigt. Und selbst auf Facebook kann man Beiträge schreiben - mit FireFox 2.0 :D - Mit dem und Opera 10 lassen sich die meisten Web Seiten lesen.

Und mein XP hat nicht mal eine Firewall

Beitrag melden Antworten / Zitieren
zwischen_durch 27.08.2016, 15:49
73.

Zitat von chrima
Apple hat die Lücke nicht innerhalb von 10 Tagen gestopft sondern 10 Tage nach dem Bekanntwerden der Lücke. Die Lücke selbst war laut Artikel über ein Jahr offen.
Eine Lücke kann erst geschlossen werden, wenn sie bekannt ist. Das ist bei jeder Software so.
Und jede Software deren Code länger als 100 Zeilen ist -also quasi jede, enthält "Lücken".
Erst Anfang des Jahres wurde in einem Opensource-Projekt (ich meine es war SSL) eine "Lücke" gefunden, die schon seit grob 15 Jahren existiert.

Daher kann man nur die Reaktionszeit ab dem Zeitpunkt der Entdeckung für die Bewertung heranziehen. Und hier hat sich Apple vorbildlich verhalten.

Beitrag melden Antworten / Zitieren
master-of-davinci 27.08.2016, 19:57
74. Auch Sie....

Zitat von Konstruktor
Natürlich, aber wie man eben am vorliegenden Fall sehen kann, wird es auch für Angreifer immer schwieriger, unentdeckt einen erfolgreichen Angriff durchzuführen. Absolute Sicherheit ist in der IT effektiv nicht realisierbar; Aber iOS hat ohnehin schon sehr gute Sicherheitsmechanismen und wird dazu noch zügig und für alle Nutzer gleichzeitig aktualisiert. Das ist schon nah am realistisch erreichbaren Optimum, und ein ziemlich riesiger Unterschied z.B. zu Android.
Gerade Ihnen sollte doch die Unterscheidung von Android (OHA) und den OEM Versionen von HTC, Sony, Samsung & Co. nicht so schwer fallen. Es seie denn, auch sie nutzen diese Pauschalisierung absichtlich.

Nicht Android, sondern OEMs sind ein Sicherheitsproblem. Diese Pauschaisierung von "Android" ist einfach unfair. Auch wenn es für den Großteil derer Zutrifft, die ein Gerät mit einer AndroidVERSION verwenden, dass sie eher schwerlich ein Sicherheitspatch bekommen, so trifft es eben nicht generell zu. Die monatlichen Sicherheitsupdates bei Samsungs Topgeräten ist ein Gegenbeispiel, Black Berry hält es ebenso damit. Die "sicherste" Android-Version hat m.E.n. Vertu wo man auch für Altgeräte noch Sicherheitsupdates bekommt und noch viel mehr...
Sie mögen nun mit der "Ausnahme" argumentieren, aber Apple ist doch auch nur wegen der "Ausnahmesituation" der völlig überschaubaren Anzahl an Gerätekonfigurationen, in der Lage relativ Zeitnah Updates zu liefern (was sie aber auch nicht immer machen...)
Dieser Pauschale Vergleich von Android vs. iOS stimmt so einfach nicht. Sie können iPhone5 mit iOS vs. Nexus 5 mit Android oder iPhone6 mit iOS vs. Galaxy S6 mit Android, oder iPhone 5S mit iOS vs. Vertu Constellation mit Android etc. vergleichen und sich die Frage nach Updatehäufigkeiten, Sicherheitslage etc stellen, aber dieses pauschale iOS vs. Android ist nicht korrekt.

Beitrag melden Antworten / Zitieren
chrima 28.08.2016, 00:49
75.

Zitat von zwischen_durch
Eine Lücke kann erst geschlossen werden, wenn sie bekannt ist. Das ist bei jeder Software so. Und jede Software deren Code länger als 100 Zeilen ist -also quasi jede, enthält "Lücken". Erst Anfang des Jahres wurde in einem Opensource-Projekt (ich meine es war SSL) eine "Lücke" gefunden, die schon seit grob 15 Jahren existiert. Daher kann man nur die Reaktionszeit ab dem Zeitpunkt der Entdeckung für die Bewertung heranziehen. Und hier hat sich Apple vorbildlich verhalten.
Natürlich kann eine Lücke erst nach ihrer Entdeckung geschlossen werden.
Sie wurde aber nicht wie suggeriert innerhalb von 10 Tagen geschlossen, sondern klaffte vielmehr ein Jahr lang offen.
Im Extremfall wurde sie vor einem Jahr schon entdeckt und von Geheimdiensten bzw. deren Dienstleistern sofort ausgenutzt.

Nur durch die Ausnutzung der Lücke wurde diese überhaupt jetzt schon von den "good guys" entdeckt und konnte wahrscheinlich geschlossen werden.

Sollte Apple tatsächlich 10 Tage vor Veröffentlichung des Patches von der Lücke erfahren haben, so liegt die Reaktionszeit gerade noch innerhalb dessen was ich von einem derartigem Unternehmen erwarte und ist demnach mit akzeptabel und nicht mit vorbildlich zu bezeichnen.
Vorbildlich wären 5 bis 6 Tage gewesen: 1-2 Tage für Analyse und Fix, 4 Tage für Tests.

Beitrag melden Antworten / Zitieren
nite_fly 28.08.2016, 06:14
76. Mal ganz ehrlich...

Ich bin beruflich in IT-Security unterwegs.
Apple-Geräte und deren Software gleicht schon fast einer geschlossenen Benutzergruppe, wie man sie früher schon mal irgendwoher kannte, wenn der geneigte Leser alt und verständig genug dazu ist.
Software und Betriebssystem kann nur aus einer Quelle bezogen werden, die vorab mehr, oder weniger) geprüft wird.
Dieses Verfahren ist das sicherste derzeit!
Wer jedoch sein Apple-Device selbst manipuliert, gibt diese relativ gute Sicherheit freiwillig auf, und soll hier bitte nicht herumheulen!
Android-Apps kann so gut, wie jeder entwickeln: Da bleibt es im Besten Fall bei Schrott-Apps, im Schlimmsten Fall bei ziemlich bösartigen Applikationen!
Dazu fällt mir weiter gar nichts ein, und jeder wird da schon wissen, was er tut...

Doch das richtige Ärgernis bei IOS ist, dass solche Fehlerkorrekturen nur für Geräte mit dem aktuellen IOS verfügbar sind: Wer ein aktuelles IOS drauf hat kann das selbstverständlich sofort installieren.

Doch ich habe bei diesen Geräten mehrmals die Erfahrung gemacht, dass die spätestens nach dem zweiten IOS-Major-Update absolut untragbar werden: Unsäglich langsam!!

Habe z.B, ein iPhone mit IOS-8. Das funktioniert wunderprächtig. Doch ich befürchte, dass mir der Spaß verloren geht, wenn ich dieses Gerät auf IOS 9 xx hochrüste. Denn meine Erfahrung hat mir da gezeigt, dass diese Geräte dann nahezu unbedienbar langsam werden!
Doch Apple bietet für ältere IOSen keine Fehlerkorrekturen an...

Beitrag melden Antworten / Zitieren
Konstruktor 28.08.2016, 19:12
77.

Zitat von mhwse
In der Regel verwendet man die Geräte zur Kommunikation. Auf diesem Weg lassen sich immer Schädlinge einschleusen - wenn Sie sich in der Firma unterhalten, in der Kantine essen, nehmen Sie nicht unerhebliche Mengen von Viren auf ..
...und es hängt von der Stärke Ihres Immunsystems ab, ob sich diese Schädlinge tatsächlich festsetzen und Sie schädigen können oder eben nicht.

Und nach demselben Prinzip unterscheiden sich auch IT-Systeme.

Zitat von mhwse
Ein iOS ist ein einzelner tragbarer unadministrierter LINUX/UNIX Server .. ein android startet jeden Prozess in einem (wenn richtig eingestellt - da ist das Problem und die Anfälligkeit des jeweiligen Prozesses - aber eben nicht des ganzen Geräts) geschützten eigenen vom Rest des Systems unabhängigen Server - den es im Zweifel jederzeit beenden kann und beendet .. ein android Gerät ist quasi eine tragbare Serverfarm mit einem, wenn auch primitiven, automatischen admin .. (da wird die KI nicht nur zum Rumlabern verwendet ..) Die Backdoor brauchen Sie bei iOS gar nicht einzubauen, die kann in jeder App untergeschoben (daher die sehr strikten Auflagen für den Store dort ..) werden - den Rest macht das Betriebssystem (es kann Freund und Feind nicht unterscheiden ..) ganz brav.
Das ist komplett hanebüchener Unsinn. Nichts davon kommt auch nur in die Nähe der Fakten. Wer hat Ihnen diesen absurden Bären aufgebunden? Woher haben Sie das?

Sowohl iOS als auch Android sind typische Client-Systeme und von der Grundstruktur auch recht ähnlich: Beide sind effektiv Unix-Varianten, wenn auch aus komplett unterschiedlichen Quellen (Linux mit Java bei Android, Mach/Next+BSD mit nativem Code bei iOS).

Bei beiden laufen Apps als eigene Prozesse in mehr oder weniger robust abgesicherten Sandboxes.

Mit "Server" hat weder Android noch iOS irgendetwas näheres zu tun, noch hätte das wiederum von vornherein irgendetwas mit der Sicherheit zu tun wenn es denn so wäre.

Apps finden sich unter iOS tatsächlich in einer wesenlich härteren und viel stärker abgeschotteten Sandbox als unter Android.

Da gibt es kaum noch Angriffsmöglichkeiten und die allermeisten Nutzer haben auch die aktuellsten Sicherheits-Updates installiert. Deshalb ist es ja auch so selten und spektakulär, wenn doch noch ein schwerer Angriff durch Nebeneffekte von Systemfunktionen gelingt, wenn auch wie im vorliegenden Fall durch die Kombination mehrerer komplizierter Klimmzüge. Und sofort nach Bekanntwerden ist eben auch schon wieder für praktisch alle Nutzer das Bugfix-Update verfügbar.

Bei Android hingegen ist die große Mehrheit aller Nutzer nach wie vor ungeschützt schwersten Lücken ausgesetzt, weil Google von vornherein das gesamte Plattformkonzept so ausgelegt hat, daß es zwar toll bequem für Mobilprovider und Hardware-Hersteller ist, aber die Sicherheit der Nutzer dabei hinten runterfällt, weil es keinerlei Druck oder Anreize von Google gibt, die Nutzer auch tatsächlich mit Updates zu versorgen.

Beitrag melden Antworten / Zitieren
Konstruktor 28.08.2016, 19:20
78.

Zitat von nite_fly
Doch das richtige Ärgernis bei IOS ist, dass solche Fehlerkorrekturen nur für Geräte mit dem aktuellen IOS verfügbar sind: Wer ein aktuelles IOS drauf hat kann das selbstverständlich sofort installieren. Doch ich habe bei diesen Geräten mehrmals die Erfahrung gemacht, dass die spätestens nach dem zweiten IOS-Major-Update absolut untragbar werden: Unsäglich langsam!! Habe z.B, ein iPhone mit IOS-8. Das funktioniert wunderprächtig. Doch ich befürchte, dass mir der Spaß verloren geht, wenn ich dieses Gerät auf IOS 9 xx hochrüste. Denn meine Erfahrung hat mir da gezeigt, dass diese Geräte dann nahezu unbedienbar langsam werden! Doch Apple bietet für ältere IOSen keine Fehlerkorrekturen an...
Kann ich nicht bestätigen. Ich hatte mein vorhergehendes iPhone 4S drei Jahre lang und mein vorhergehendes iPad 3 vier Jahre lang (in beiden Fällen danach durch Geräte mit größerem Display ersetzt) und beide Geräte liefen bis zum letzten Tag einwandfrei mit der jeweils aktuellsten iOS-Version (und können auch bei ihren jetzigen Besitzern noch das jetzige Update bekommen).

Beim Upgrade auf eine komplett neue Hauptversion (Feature-Upgrade) wird es manchmal zuerst etwas langsamer, aber in der Regel wird das durch die darauffolgenden Optimierungs-Updates wieder abgemildert. Und selbstverständlich kann man nicht auf einem alten Gerät alle neuen Features bis an den Anschlag hochzwiebeln, die für die neueren, schnelleren Geräte gedacht sind, und dann erwarten, daß das alte Gerät damit genauso schnell wäre.

Bei vernünftiger Einstellung der Funktionen ist das aber ziemlich unkritisch und ich rechne durchaus damit, daß meine aktuellen Geräte 4-5 Jahre regulär ihren Dienst tun werden, wenn nicht noch länger.

Viele Leute haben da einerseits unrealistische Erwartungen und kümmern sich andererseits zuwenig um sinnvolle Einstellungen.

Beitrag melden Antworten / Zitieren
Seite 8 von 8