Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apples Vortrag auf der Black Hat Konferenz enttäuschte Teilnehmer

Wie Heise Online berichtet, war Apples erster und viel erwarteter Vortrag auf der Black Hat Sicherheitskonferenz zur Sicherheitsarchitektur von iOS eine Enttäuschung. So hatte Apple beispielsweise im Vorfeld Konferenzteilnehmern erklärt, sich bei Fragen zur Sicherheitsstrategie an Apples PR-Abteilung zu wenden. Der Vortrag selbst war schließlich eine detailgetreue Abfolge eines im Mai veröffentlichten Whitepapers zur iOS-Sicherheit, ohne neue Details zu bieten. Sowohl im Vortrag als auch Whitepaper verschweigt Apple verschiedene bekannte Unzulänglichkeiten im vielschichtigen Schutzsystem. So können Angreifer beispielsweise trotzt aller Absicherungen mit Zertifikaten Programmanweisungen einschleusen und die Kontrolle über das Gerät erlangen. Prominentestes Beispiel sind hierfür Jailbreaks, mit denen Besitzer beliebige Apps jenseits des App Store von Apple auf ihrem iOS-Gerät installieren können. Wie Heise Online weiter aufführte, bietet die standardmäßige PIN-Abfrage mit vier Stellen bei einem Brute-Force-Angriff nur unzureichenden Schutz von maximal 15 Minuten. Laut Heise Online ging es Apple bei dem Vortrag ganz offensichtlich nicht um einen Dialog. Ohne auch nur eine Frage zu beantworten, soll Apples Chef für Plattformsicherheit, Dalles De Atley, am Vortragsende fluchtartig den Raum verlassen haben.

Weiterführende Links:
Vor 15 Jahren: Als der iMac riesig wurde
Vor 15 Jahren: Als der iMac riesig wurde
Mac mini M4
Mac mini M4
Mac mini M4 im ersten Test: Was hält der kleine Würfel?
Mac mini M4 im ersten Test: Was hält der kleine...
Kopplung "iPhone + Apple Watch" sowie Anbindung von Zubehör: Apple drohen weitere rechtliche Probleme
Kopplung "iPhone + Apple Watch" sowie Anbindung...
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
iOS 18, iPadOS 18, macOS 15: Das Release-Datum ist bekannt
iOS 18, iPadOS 18, macOS 15: Das Release-Datum ...
Gescheitert: iPhones von Robotern statt Arbeitern
Gescheitert: iPhones von Robotern statt Arbeite...
Erste Benchmarks: M4 Pro schneller als ein M2 Ultra im Mac Pro?
Erste Benchmarks: M4 Pro schneller als ein M2 U...

Kommentare

Moneying27.07.12 16:58
0
someone27.07.12 17:01
Genau, lol
0
zwobot27.07.12 17:04
Und dem Unternehmen trauen soviele ihre Daten in der iCloud an. Apple bewegt sich auf dünnem Eis. Sollte die iCloud Unbefugten Daten preisgeben wird das zumindest ein Image-Gau. Ich hoffe es nicht für all die unbedarften User.
0
DonQ
DonQ27.07.12 17:07
Naja, kommt schon…war doch der erste Besuch/Versuch …theoretisch kann man ja wohl auch seine Daten Löschen oder eine Nachricht schicken lassen, nach 10 Abfragen/ Fehlversuchen…oder habe ich diese Funktion nur auf meinen Handy/iPhone ?!

Aber der Typ ist wohl wirklich deplatziert

an apple a day, keeps the rats away…
0
Tzunami
Tzunami27.07.12 17:08
Dalles De Atley scheint ja ne Pfeife zu sein, da hätten sie auch einen iPod den Vortrag halten lassen können.
0
DonQ
DonQ27.07.12 17:10
Übrigens ist vor kurzem erst die remote signierung von Microsoft für trusted code deaktiviert worden…nach Bekanntwerden eines Virus mit Microsoft Zertifikat: Trusted Code: von Microsoft signiert
an apple a day, keeps the rats away…
0
o.wunder
o.wunder27.07.12 17:18
Was soll der arme Kerl denn machen? Der durfte doch nur sagen was auf dem Papier stand.

Dialoge sind nix Apple.
0
andreas6327.07.12 17:30
Typisch Apple. (Einwege "Dialog").
Leider vermeidet Apple fast immer einen transparenten und dialoorientierten Informationsaustausch.
Fragen und Probleme werden meist solange ignoriert / totgeschwiegen bis eine Lösung da ist. Aber nie vorher in der Phase der Problemklärung.

Kann man so machen - muss man aber nicht!
0
DonQ
DonQ27.07.12 17:30
Extra noch mal nachgeschaut:

Daten löschen:

Alle Daten auf diesem iPhone nach 10 fehlgeschlagenen Code-Eingaben löschen.

ist aber auch Wurscht, wenn man eh über das Dateisystem komplett auslesen kann, mitunter
an apple a day, keeps the rats away…
0
Tzunami
Tzunami27.07.12 17:50
@andreas63

Du meist Monolog!

Bei WoW:BC gab es Gegner die wirken "langweiliger Monolog" auf dich und betäuben dich damit. So wird das wohl auch Dalles De Atley gemacht haben.
0
Grolox27.07.12 18:08
Wenn ich hier so einige Texte lese kommt mir schlicht der
Kaffee hoch.
An was hatten denn alle gedacht was Apple und die Person
De Atley hier von sich geben sollen ?
Etwa sowas wie : " Hallo Leute unser System ist nicht sicher genug
könnt ihr uns mal ein paar Tipps geben. "
Das glaube ich nicht.
Einen Bericht weiter unten lesen , dann rummaulen,
Apple kauft Sicherheitsfirma.
0
zwirn
zwirn27.07.12 18:09
Stehen bleibt aber, dass Apple grundsätzlich teilgenommen hat.

Mehr als diese symbolische Geste war wohl beim ersten mal nicht drin. Ich finde, dass ist als erster kleiner Schritt O.K. .
http://www.youtube.com/watch?v=HGmjr4p34Y8
0
zornzorro27.07.12 18:30
ist mir doch schietegal, die produkte sind super und die apps ebenfalls - immer dieses olle gemecker, naja, wer sonst nix zu tun oder zu melden hat, hehe



0
Aronnax27.07.12 18:35
@Grolox
An was hatten denn alle gedacht was Apple und die Person De Atley hier von sich geben sollen ?

Also wenn man nur das vorliest, was man sowieso im Internet finden kann, hätte die von Apple auch gleich zu Hause bleiben können.
Was auch immer man von Apple erwarten könnte, so eine peinliche Nummer wohl eher weniger.
Warum kommt dir nun der Kaffee hoch? Apple wollte nichts relevantes berichten, also ging es ihnen nur um PR.
Ging eben nach hinten los, ist das die Schuld der Konferenz, oder der Teilnehmer? Selber Schuld Apple, sie wussten ja worauf sich sich einzustellen haben und die Erwartungen wurden eben nicht erfüllt.
Ein PR-Stunt ist missglückt - who cares
Wie gesagt: Selber Schuld
0
DonQ
DonQ27.07.12 18:35
Das nächste mal, muß er halt paar Kartons NDAs mitbringen und zeichnen lassen
an apple a day, keeps the rats away…
0
Aronnax27.07.12 18:42
@zwirn
Mehr als diese symbolische Geste war wohl beim ersten mal nicht drin. Ich finde, dass ist als erster kleiner Schritt O.K. .
Wie ist es nun zu sehen?
Ein bekannter Autist wagt es erstmals zu kommunizieren und wird deshalb höflich beklatscht - siehst du es so

Oder ist es eher so:
Ein Großmeister der Selbstdarstellung legt sich auf die Fresse und alle lachen - ist wohl eher so
0
dom_beta27.07.12 18:47
Übrigens ist vor kurzem erst die remote signierung von Microsoft für trusted code deaktiviert worden…nach Bekanntwerden eines Virus mit Microsoft Zertifikat: Trusted Code: von Microsoft signiert

War das nicht irgendwie anders? Der Sierk hatte doch dazu was geschrieben:
sierkb
11.06.12 11:08

Tekl:
Etwas unheimlich sind solche Updates schon, besonders im Schatten der Berichterstattung zu Flame.
+1

Aber: kein Weg ohne Risiko.
Zudem solltest Du, was das angeht, genauso Schiss haben vor der Softwareaktualisierung von Apple bzw. für Gewahr haben, dass Apples kommende Gatekeeper-Funktion in Mountain Lion vor diesem Hintergrund auch nur Sand in die Augen gestreut ist, weil komprommittierbar durch ein einziges gefälschtes Apple-Zertifikat (so geschehen auf der Windows-Plattform über den zentralen Windows-Update-Mechanismus und ein gefälschtes Microsoft-Zertifikat). In dem Zusammenhang waren da echte Profis und Krypto-Experten am Werk, das kristallisiert sich immer mehr heraus, das waren bei Gott keine Anfänger, sonder wohl eher die Besten der Besten der Besten, die da das Zertifikat gefälscht und den Hash-Algorithmus geknackt haben.
In dieser Kategorie und an derselben Stelle durchaus auch denkbar und sicher nicht unmöglich nicht nur die Windows-Aktualisierung betreffend wie geschehen, sondern auch die Apple'sche Softwareaktualisierung betreffend. Auch ein Gatekeeper nutzt da dann wenig, wenn da mit solchen Methoden und Mitteln (gefälschte Hersteller-Zertifikate, geknackte Verschlüsselung) operiert wird und da ausgewiesene Krypto-Experten am Werk sind, die da etwas schaffen und knacken (MD5 Hash-Verschlüsselung), was bisher als der heilige und nach bisherigen Methoden unknackbare Gral galt.

Quelle:

http://www.mactechnews.de/news/comments/Kommentare-zu-Adobe-Flash-Player-11-3-mit-Hintergrundaktualisierung-153166.html

...
0
Gerhard Uhlhorn27.07.12 19:33
Was ich gar nicht verstehe: Es wäre doch ein leichtes für Apple eine Verzögerung in die PIN-Eingabe einzubauen, die nach jeder Falscheingabe die Wartezeit bis zu einem Neuversuch verdoppelt.
0
iGod27.07.12 19:37
Gerhard

Das gibt es doch schon?! Ich meine wenn man 3x den Pin falsch eingibt ist erstmal Pause. Zumindest war das schon mal so. War ein beliebter Scherz wenn man dem Kumpel das iDevice geklaut hat und erstmal den Pin paar mal falsch eingegeben hat, sodass er ein paar Minuten warten musste

Ich habe meinen Pin sowieso in ein Buchstaben Code eingestellt.
0
Spatenheimer27.07.12 19:45
Ohne auch nur eine Frage zu beantworten, soll Apples Chef für Plattformsicherheit, Dalles De Atley, am Vortragsende fluchtartig den Raum verlassen haben.

Oh Mann das macht nen guten Eindruck.
0
DonQ
DonQ27.07.12 19:52
@dom_beta
Gut, dann ist das halt paar Tage alt, aber ich lese hier auch nicht jeden Tag+alles…wobei, es war kein gefälschtes sondern ein echtes…nur mit schadhafter SW als Inhalt ausgestellt, letztens

Trotzdem…sind auf der Black Hat Konferenz wohl auch kaum bis keine Anfänger vertreten…würde ich mal sagen

Das letzte mal als ich mich intensiv damit beschäftigte, hab ich sehr interessiert das Thema Lockpicking Nachweis unter dem Elektronenmikroskop "gelesen"

Na wie dem auch sei, Applaus hat er auf jeden fall nicht bekommen, der Dallas
an apple a day, keeps the rats away…
0
Swentech27.07.12 20:41
Finde ich gut, Apple lässt sin nicht von der Kongruenz aushorchen

"Programmanweisungen einschleusen und die Kontrolle über das Gerät erlangen"
Das hat es noch nie gegeben bei den Nutzern.
Theoretisch besteht zwar das Risiko aber aber wen betrifft das?

Mein Mac wurde ganz sicher noch nie von jemand fremden übernommen.
0
Amoled27.07.12 20:47
Finde ich gut, Apple lässt sin nicht von der Kongruenz aushorchen
- Wurde Apple gezwungen daran Teilzunehmen? Hast du eine Ahnung was die Black Hat-Konferenz überhaupt ist?
Mein Mac wurde ganz sicher noch nie von jemand fremden übernommen.
Woran macht man das fest?
0
Waldi
Waldi27.07.12 21:23
Nach Durchlesen aller Kommentare, weiß ich jetzt überhaupt nicht mehr, um was es da eigentlich geht!
vanna laus amoris, pax drux bisgoris
0
MacBeck
MacBeck27.07.12 21:25
Wenn ich hier die Kommentare so lese, dann wundert mich nix mehr ihr verteidigt mit teilweise religiösen Eifer Apple, egal, welchen Mist Apple auch immer baut.

Apple muss echt mehr kommunizieren! Es reicht eben nicht, alle paar Monate ne Keynote zu halten, insbesondere auf einer Konferenz für IT-Sicherheit... Wenn ich nix sagen will, dann gehe ich nicht hin. Fertig. Wenn ich hingehe, dann muss ich auch was sinnvolles beitragen...
It is what it is - don't make it what it isn't.
0
Kovu
Kovu27.07.12 21:43
Sehr fragwürdig eine 4-Zahlen-Pin als "Sicherheitslücke" zu verkaufen. Das hat rein gar nichts mit Apple, iOS oder sonstwem zu tun.
0
Amoled27.07.12 22:28
Sehr fragwürdig eine 4-Zahlen-Pin als "Sicherheitslücke" zu verkaufen. Das hat rein gar nichts mit Apple, iOS oder sonstwem zu tun.

Kommt drauf an würde ich sagen
0
Gerhard Uhlhorn27.07.12 22:59
iGod: Und wie soll es dann möglich sein den Code in 15 zu knacken?
MTN
… bietet die standardmäßige PIN-Abfrage mit vier Stellen bei einem Brute-Force-Angriff nur unzureichenden Schutz von maximal 15 Minuten.
0
Michael Lang27.07.12 23:31
Tja, schwacher Auftritt von Apple und die haben wohl gemeint, die kämen, nur weil Sie da waren, gut weg dabei. Hat man sich wohl stark geirrt bei Apple.
Entweder man nimmt nun nicht mehr teil, oder macht es beim nächsten mal deutlich besser.
Apple sollte endlich aus seiner Ecke rauskommen und mit den Leuten offen kommunizieren. Das kommt erstens besser an und zweitens wird man auch sicherheitstechnisch besser wahrgenommen und drittens könnte Apple noch einiges lernen...
- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
0
iGod27.07.12 23:51
Gerhard

Keine Ahnung, mit den richtigen Programmen bestimmt kein Problem.

Weiterhin stellt sich die Frage welcher Pin gemeint ist? Der PIN mit dem ich das iPhone entsperre oder der PIN mit dem ich die SIM-Karte entsperre? Der SIM PIN kommt ja von Provider und hat mit Apple und dem iPhone eigentlich gar nichts zu tun.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.