1725771

Angeblich neue Schwachstelle in iOS-Sicherheit

13.03.2013 | 14:00 Uhr |

Die SIcherheitsfirma Skycure hat auf der Konferenz Herzliya Conference 2013 eine weitere potentielle Sicherheitslücke in iOS vorgestellt. Die Firma sagt eine regelrechte Welle von iOS-Malware vorher.

Konkret sieht Skycure die mobilen Profile für das iPhone und das iPad als eine Lücke in iOS-Sicherheit, da die Angreifer dem Nutzer präparierte Profile unterjubeln können, die den Webtraffic auf gefälschte Seiten weiterleiten oder Telefonate mithören bzw. Nachrichten mitlesen können. Adi Sharabani, der Gründer von Skycure, schildert in seinem Vortrag auf der Konferenz und in einem Beitrag auf der eigenen Webseite die angebliche Schwachstelle bei der iOS-Sicherheit. Zugleich verspricht Skycure eine maßgeschneiderte Lösung des Problems mit der Software, die als mobile Firewall dienen und solche "Schwachstelle" in iOS angehen soll.

Nun hat die Ankündigung von Skycure einen kleinen Haken: Man kann die Konfigurationsdateien ohne Zutun des Nutzers auf dem iPhone nicht so leicht installieren, Nutzer müssen die Installation des Profils bestätigen. Was Skycure in seinem Bericht als potentielle Angriffsstelle für iOS aufführt, gehört eher in den Bereich "Social Engineering", sprich der Nutzer selber muss aktiv werden und die vorgeschlagene Datei auf dem iOS-Gerät installieren.

Vorsicht vor iPhone-Profilen

Doch nicht nur die Anwender sind in der Pflicht, bei den unbekannten Konfigurationsprofilen genauer hinzuschauen. Was Sie bei der Installation von Profilen beachten müssen, haben wir im Artikel " Vorsicht vor Profilen " aufgeführt. Derzeit bietet Apple beim Erstellen der Konfigurationsdatei drei Sicherheitsstufen. Bei der ersten Stufe handelt sich um eine reine Textdatei mit der Endung ".mobileconfig", sie kann auf dem beliebigen Gerät installiert werden. Lediglich einige Abschnitte mit persönlichen Daten werden unkenntlich gemacht. Nach Wunsch können die Entwickler die neuen Profile signieren und verschlüsseln. Dabei bietet ein signiertes und verschlüsseltes Profil die höchste Sicherheitsstufe : Die Mobileconfig-Datei kann man nicht mehr nachträglich ändern, sonst wird sie auf dem Zielgerät nicht installiert, dazu kann man das Profil nur auf einem bestimmten Gerät installieren, für jedes weitere iPhone oder iPad erstellt das Konfigurationsprogramm ein neues Profil. Der Text der Datei ist verschlüsselt, so dass man auf die Inhalte nicht zugreifen kann.

Anmerkung der Redaktion: Für iOS-Geräte gibt es zwei Arten Profile, die ein Nutzer installieren kann. Zum einen können  Administratoren in den Unternehmen Konfigurationsprofile erstellen, die alle wichtigen Einstellungen beinhalten. Dabei handelt es sich um eine XML-Datei, die alle nötigen Angaben zu Wlan, APN, VPN, E-Mail, Kalender, Zertifikaten etc. bringen. Die Mobilfunkprovider nutzen die Konfigurationsprofile auch gerne, da sie so unproblematisch Angaben zu den APNs, Benutzernamen und Passwörter an alle Abonnenten verteilen, die das mobile Netzwerk nutzen wollen.

Eine andere Art stellen die sogenannten Provisioning-Profile dar, die iOS-Entwickler nutzen, um ihre Apps ohne Zulassung im App Store an Test-iPhones verteilen zu können. Die Installation von Provisioning-Profilen gestaltet sich noch umständlicher als die von Konfigurationsprofilen: Dazu muss ein Entwickler einen direkten Zugriff auf das iPhone haben oder die konkrete UDID wissen.

0 Kommentare zu diesem Artikel
1725771