1031017

Forscher: Apple übertreibt seine Versprechen zur iPhone-Sicherheit

08.02.2010 | 09:40 Uhr |

Die letzte Sicherheitskonferenz zeigt, dass mit den offiziellen iPhone APIs Anwendungen erstellt werden können, die Privatdaten aus dem iPhone auslesen. Die Prognose lautet: Unsichere Anwendungen konnten und werden auch in Zukunft im App Store zugelassen. Zur effektiven Abhilfe sollte Apple eine Firewall fürs iPhone erwägen.

Das iPhone 3G S hat sich gegenüber seinem Vorgänger äußerlich nicht geändert.
Vergrößern Das iPhone 3G S hat sich gegenüber seinem Vorgänger äußerlich nicht geändert.
© Apple

Auf der Black-Hat-Konferrenz in den USA hat der schweizer Softwareentwickler Nicolas Seriot Anfang Februar einen Vortrag über Sicherheitsmängel des iPhone gegeben. Demnach sind Apples Beteuerungen, wie sicher die Daten und Privatinformationen auf dem iPhone seien, weit übertrieben. Seriots Studie ist das Ergebnis eines Forschungsauftrags einer Schweizer Bank, die mehr über iPhone-Sicherheit wissen wollte.

Apple beschränkt die Nutzung von Betriebssystem-Ressourcen durch Anwendungen auf Daten mit einer Liste von Regeln, die den Zugriff auf Betriebssystem-Kern-Ebene erlauben oder untersagen. "Diese Regelung ist aber bei weitem nicht ausreichend", beteuert Seriot, der auch als Ausbilder für iPhone-Entwickler für die Firma Sente arbeitet. Als Beweis listet er im Vortrag eine Reihe von Anwendungen, die Zulassung im App-Store erlangten, obwohl sie Kontakte und Adressen des iPhones sammelten und weitergaben.

Darunter befinden sich zum Beispiel Aurora Feint , die das "Problem" mit Apple behoben haben und wieder im App-Store vertreten sind, oder Mogoroad . Die Wahrscheinlichkeit, dass weitere solcher Programme Zulassung im App-Store erlangen, schätzt Seriot als ziemlich hoch ein. Außerdem wird mit mittlerweile 34 Millionen verkauften iPhones das Smartphone zunehmend ein interessantes Ziel für Hacker . Besonders leichte Beute sind die acht Prozent aller iPhones, auf denen der Anwender mit Jailbreak absichtlich alle Sicherheitsmaßnahmen von Apple aushebelte , um beliebige Software aufzuspielen.

Seriot bewies, dass er nur die iPhone API brauchte, um eine Anwendung "Spyphone" zu schreiben, die sensible Information wie Benutzerzugänge und Server Informationen im iPhone ausspäht. In einer Demo konnte Seriot auf die Geräte-eigene Telefonnummer und die letzte gewählte Nummer zugreifen, und den Standort während des Telefongespräches auslesen. Zur Abhilfe empfiehlt Seriot Apple dringend den Einbau einer Firewall, die den Anwender über alle Datenübertragungen, sowie Zugriffe und Änderungen der Kontakte informiert.

0 Kommentare zu diesem Artikel
1031017