Betriebssysteme im Security-Check

die Sicherheit von Apple iOS


Apple iOS
Für die Sicherheit bei der Installation von Apps aus dem Apple App Store spricht die restriktive Überwachung des App Stores durch Apple. Apple prüft jede App vor deren Bereitstellung im App Store, der zudem die einzige Downloadquelle für iPhone-Apps darstellt. Allerdings können Aussenstehende nicht nachvollziehen, wie detailliiert die Überprüfung ausfällt, sprich: Ob Apple wirklich jede Code-Zeile tatsächlich überprüft. Jeder Einsteller muss sich zudem zuvor im App Store anmelden.
Apple besitzt ausserdem die Möglichkeit der Fernlöschung einer App, die als Malware enttarnt wird. Ist eine App dann installiert, wird sie in einer Sandbox ausgeführt, also in einem nur für sie reservierten Bereich, aus dem sie nicht ausbrechen können sollte. Sie kann somit andere Apps und das Betriebssystem nicht beeinflussen (zumindest in der Theorie). Die einzelne App hat keinen Zugriff auf die OS-Ressourcen und das Dateisystem. Unter iOS gibt es allerdings Prozesse des Betriebssystems, die mit Root-Rechten und Vollzugriff laufen. Das könnte eine Schwachstelle für künftige Hackerattacken sein.
Erste Hinweise auf Malware-artige Apps oder zumindest aus Datenschutz-Sicht bedenkliche Apps gibt es bereits. So sammelte ein bereits aus dem App Store entferntes Spiel die auf dem iPhone gespeicherten Kontaktdaten und übertrug diese zum Server des Spielherstellers. Relativ bekannt wurde auch die Jailbreakme-Lücke vom August 2010: Dabei musste nur eine bestimmte Website auf dem iPhone geöffnet werden, um eine Schwäche im Browser Safari auszunutzen, um den iPhone-Jailbreak durchzuführen. Ein Angreifer hätte die mittlerweile geschlossene Lücke dafür nutzen können, um den Anwender Malware unterzujubeln.
iPhone-Besitzer, die alle von Apple auferlegten Einschränkungen aushebeln wollen, können einen Jailbreak auf ihrem iPhone machen. Danach lassen sich auch Apps von anderen Downloadquellen als nur dem App Store installieren und auch der SIM-Lock aufheben, das iPhone also mit einem anderen Mobilfunkprovider nutzen. Doch mit einem Jailbreak hebelt man auch das Sicherheitskonzept von iOS aus – das muss jedem Besitzer eines iPhones klar sein. Denn nach einem Jailbreak gibt es keine Prüfung der Code-Signatur mehr (das so genannte Code Signing), so dass sich auch Apps installieren lassen, die keine Signatur des Programmierers haben.
Auf der nächsten Seite: Google Android unter der Lupe



Kommentare
Avatar
skyzem
22.10.2010
http://www.heise.de/kiosk/archiv/ct/2010/20/86_kiosk Ein wirklich interessanter Artikel bezüglich Apps, Betriebsystemen und deren Sicherheit. Meist sind es eben nicht die Betreibsysteme die Versagen, sondern die Apps die darauf laufen. Denn wenn eine App SSL resp. TLS unterstützt aber nicht checkt, ob das Zertifikat gefälscht/verändert wurde dann hilft alles nichts.