Ich würde Apple schnellstens raten, die Meta-Daten.Hintertür zu schliessen... sonst gehen die Verkaufszahlen schnell in den Keller...

Warum?
Wenn die Leute so reagieren würden, wären alle Androids längst vom Markt verschwunden.

Beim Androiden wird das aber nicht so prominent in der Presse erwähnt.

Slides from my HOPE/X Talk
Identifying Backdoors, Attack Points, and Surveillance Mechanisms in iOS Devices

Posted on July 18, 2014 by Jonathan Zdziarski

Identifying Backdoors, Attack Points, and Surveillance Mechanisms in iOS Devices

In addition to the slides, you may be interested in the journal paper published in the International Journal of Digital Forensics and Incident Response . Please note: they charge a small fee for all copies of their journal papers; I don’t actually make anything off of that, but it does support the journal.

Here is a link to the PDF of my slides:

iOS_Backdoors_Attack_Points_Surveillance_Mechanisms (PDF)

DON’T PANIC

Before the journalists blow this way out of proportion, this was a talk I gave to a room full of hackers explaining that while we were sleeping, this is how some features in iOS have evolved over the PAST FEW YEARS, and of course a number of companies have taken advantage of some of the capabilities. I have NOT accused Apple of working with NSA, however I suspect (based on released documents) that some of these services MAY have been used by NSA to collect data on potential targets. I am not suggesting some grand conspiracy; there are, however, some services running in iOS that shouldn’t be there, that were intentionally added by Apple as part of the firmware, and that bypass backup encryption while copying more of your personal data than ever should come off the phone for the average consumer. I think at the very least, this warrants an explanation and disclosure to the some 600 million customers out there running iOS devices. At the same time, this is NOT a zero day and NOT some widespread security emergency. My paranoia level is tweaked, but not going crazy. My hope is that Apple will correct the problem. Nothing less, nothing more. I want these services off my phone. They don’t belong there.

With that said, enjoy the slides and the paper; I think it’s solid academic quality research.

Die lesen nur, iOS hat Hintertüren und würden dann zu Android wechseln, aber die meisten haben ja nichts zu verbergen und somit ist es wieder egal.

Beim Androiden wird das aber nicht so prominent in der Presse erwähnt. Normalouser wissen nicht dass es einen enormen Sicherheitsunterschied zwischen iOS und Android gibt. Die lesen nur, iOS hat Hintertüren und würden dann zu Android wechseln, aber die meisten haben ja nichts zu verbergen und somit ist es wieder egal.

Zumindest ist bisher nicht bekannt, dass Android standardmäßig einen Keylogger installiert hat - und einen Paketsniffer. Insofern ist hier Android sicherheitsmäßig vorzuziehen.

Definitiv nicht. Denn Android hat einfach zu viele Sicherheitsmängel, die von allen mit entsprechend krimineller Energie auch ausgenutzt werden.

Ich weiß noch, als letztes Jahr um diese Zeit die Meldung "In Android steckt Code der NSA" in der Zeitung stand.

SELinux (Security-Enhanced Linux, deutsch sicherheitsverbessertes Linux) ist eine Erweiterung des Linux-Kernels, die den ersten Versuch darstellt, das FLASK-Konzept des US-amerikanischen Geheimdienstes NSA umzusetzen. Es implementiert die Zugriffskontrollen auf Ressourcen im Sinne von Mandatory Access Control. SELinux wird maßgeblich von der NSA und von dem Linux-Distributor Red Hat entwickelt. Unternehmen wie Network Associates, Secure Computing Corporation, und Tresys sind bzw. waren ebenfalls an der Arbeit an SELinux beteiligt, besonders Tresys übernimmt vermehrt Aufgaben am Projekt.

SELinux ist Open-Source-Software und setzt sich aus einem Kernel-Patch und aus zahlreichen Erweiterungen für Systemprogramme zusammen. Für das Festlegen der Regeln gibt es eine sogenannte Policy, die momentan von Tresys herausgegeben wird. Die meisten Distributionen bieten spezielle SELinux-Policy-Pakete für ihre Programme an, die die Policy um das jeweilige Programm erweitern.

Integration in Linux-Kernel

Für Kernel 2.4.x gibt es einen Patch, in Kernel 2.6.x ist SELinux direkt integriert. Die Linux-Distribution Fedora (ein durch Red Hat gesponsertes Projekt) war die erste Distribution, die von Haus aus SELinux-Unterstützung mitliefert. Fedora Core 3 und Red Hat Enterprise Linux 4 wurden als erste Distributionen mit voller SELinux-Unterstützung ausgeliefert. Mittlerweile ist es ebenfalls fester Bestandteil von CentOS, Hardened Gentoo und openSUSE. Unter Ubuntu sowie Debian ist dieses über die Paketverwaltung nachinstallierbar. Die Implementierung für Slackware ist noch in Arbeit. Mit Einführung von Android 4.3 wurde auch offiziell der auf dem Linuxkernel basierende Androidkernel um SELinux erweitert. Zuvor haben bereits Hersteller wie HTC und Samsung in ihren Smartphone-Modellen die Kernelerweiterung eingesetzt um erweiterte Sicherheitsfunktionen zu implementieren.

Kritik

An SELinux wird oft kritisiert, dass es viel zu komplex sei, um von normalen Benutzern administriert werden zu können. Das habe zur Folge, dass die meisten Benutzer ein solches System entweder nur unsicher konfigurieren oder SELinux komplett abschalten. Mit dem Versprechen, leichter konfigurierbar zu sein, hat deshalb Immunix das Tool AppArmor als Alternative etabliert.

Denn Android hat einfach zu viele Sicherheitsmängel, die von allen mit entsprechend krimineller Energie auch ausgenutzt werden.

Deswegen setzen es auch Einrichtungen und Stellen ein, z.B. auch das US-Militär, die, wenn Du Recht hättest, aus Sicherheitsgründen auf den Einsatz am ehesten drauf verzichten müssten zugunsten anderer, vertrauenswürdigerer Hersteller. Hier wirst Du aber durch die Praxis und Realität eines Besseren belehrt.

Kein Militär oder Behörde dieser Welt wird sich Android-Geräte anschaffen, ohne diese anzupassen.

Kannst denen ja mal schreiben, dass Du der Meinung bist, dass das Deiner Ansicht nach ganz furchtbar leichtsinnig und sicherheitstechnisch sehr bedenklich von ihnen sei, hier auf Android zu setzen. Mal sehen, was die NASA Dir da für eine Antwort gibt.

Definitiv nicht. Denn Android hat einfach zu viele Sicherheitsmängel, die von allen mit entsprechend krimineller Energie auch ausgenutzt werden.

Für deine Behauptung hast du sicher auch Beweise, dass ein frisch gekauftes Samsung, Sony, HTC etc. mit der Standard Konfiguration unsicherer ist als ein iPhone?

es ging um die Hardware, nicht um das Consumer-OS.

Wieso ein frisch gekauftes Samsung, Sony etc. mit der Standardkonfiguration? Das hat er erstens gar nicht gesagt und zweitens entspricht es gar nicht der Realität.

Wäre ja schön, wenn Android so bleiben würde wie es bei der ersten Aktivierung war + mehrere Jahre Sicherheitsupdates. Das wäre dann ja wie bei iOS.

Centralized Control

• Apple has worked hard to make iOS devices reasonably secure against typical attackers
• Apple has worked hard to ensure that Apple can access data on end-user devices on behalf of law enforcement
• To their credit, iPhone 5* + iOS 7 is more secure from everybody except Apple (and .gov)

[…]

Summary

• Apple is dishing out a lot of data behind our backs
• It’s a violation of the customer’s trust and privacy to bypass backup encryption
• There is no valid excuse to leak personal data or allow packet sniffing without the user’s knowledge and permission.
• Much of this data simply should never come off the phone, even during a backup.
• Apple has added many conveniences for enterprises that make tasty attack points for .gov and criminals
• Overall, the otherwise great security of iOS has been compromised... by Apple... by design.

Entscheident ist, ob diese "Lücken" von der Ferne aus ohne Einfluß des Benutzers verwendet werden können. Ist das nicht der Fall und es ist phys. Zugriff nötig, dann ist das alles kalter Kaffee.

ob diese "Lücken" von der Ferne aus ohne Einfluß des Benutzers verwendet werden können.

Ist das nicht der Fall und es ist phys. Zugriff nötig

Entscheident ist, ob diese "Lücken" von der Ferne aus ohne Einfluß des Benutzers verwendet werden können. Ist das nicht der Fall und es ist phys. Zugriff nötig, dann ist das alles kalter Kaffee. Wenn ich die Hardware unter meiner Kontrolle habe, hilft _kein_ Schutz. Da kann ich machen, was ich will.

Wenn es um das Thema Sicherheit geht kann ich jedem nur empfehlen regelmässig die TheHackerNews zu lesen. Da geben sich Android und iOS gegenseitig die Klinke in die Hand. Da gibts auch einen ausführlichen Bericht zu dem Thema hier. Für mich haben beide beim Thema Sicherheit viel aufzuholen.

http://thehackernews.com/