Dem glaube ich kein Wort!!!
So etwas geht nur mit Samsung Smartphones die auf das Virenverseuchte Android basieren.
Apple mit ihrem iPhones ist sicher, oder doch nicht

Echt? Mussten das wirklich "Forscher" feststellen? Es ist doch sonnenklar dass ich in einer nativen App, wenn ich es geschickt genug anstelle, Code hinein bekomme der etwas illegales tut was nicht sofort entdeckt werden kann. Dafür bietet C (bzw. Assembler) doch alle Voraussetzungen.
Ich bezeifele auch, dass man das jemals - mir überschaubarem Aufwand - komplett ausschließen kann.

Nö, und da Apple sich den Quelltext eh nicht anschaut (anschauen kann? alle Funktionalität nachvollziehen?) wird es auch niemals eine 100% sichere Überprüfung geben können.

matt.ludwig

Was das jetzt eine Zustimmung?

Ja, rasch prüfen und alle möglichen Massnahmen treffen, gefälligst!

Was ich nur nicht verstehe ist wie das App sich über die möglichen API Zugriffe hinwegsetzen kann. Fremdcode hin oder her. Bisher dachte ich das Apps keinen Zugriff auf externe Apps/Funktionen haben und nur über API Schnittstellen Funktionen aufrufen können?

Raziel1

Technisch möglich ist es auch das private API von iOS aufzurufen. Nur ist das halt verboten und wird - sofern fest in eine App integriert - auch bei der Überprüfung gefunden und entsprechend abgelehnt.

In dem oben beschriebenen Fall wurde diese Funktion der App wohl nachträglich hinzugefügt.
Auch für das nachträgliche Hinzufügen von Funktionen muss eine App aber vorbereitet sein. Offensichtlich ist dies bei der Kontrolle aber nicht aufgefallen - bzw. es war so gut verschleiert, dass es nicht gefunden wurde.

Ich glaube kaum das die App Ihren Code selbst verändern kann. Und was dort als Funktionen angegeben wird, muss der Nutzer erst freigeben, ZB Fotos, Adressbuch etc. Und schädliche Webseiten aufrufen, schadet ja nicht, solange der geladene Code nichts außerhalb des Browsers anrichten kann.

Ich halte das für verkehrte Panikmache. Wer weiß wer die Aktion bezahlt hat?

Mich würde interessieren, was die genau wie ohne mithilfe des Anwenders (außer das Installieren, versteht sich) machen konnten. Denn wenn eine "News-App" z.B. auf meine Adressen zugreifen will, dann sage ich erst mal nein. Klar, es könnte natürlich auch um eine "Ultimative-Adressbuch-App" handeln. Das wäre dann unverdächtiger.

So wie man lesen kann, hat man sich bei Apple diese App gerade mal ein paar Sekunden angeschaut, bevor sie die von dort aus die Freigabe bekam und die Forscher die Freigabe bestätigt bekamen. Ein paar Sekunden Prüfung seitens Apple. Oberflächliche Schnelligkeit vor Gründlichkeit offenbar.

n-tv.de (19.08.2013): Forscher platzieren Malware-App: Ist Apples App Store nicht sicher?
Durch eine gewissenhafte Einlasskontrolle sollen Anwendungen, die Nutzer aus dem App Store auf iPhones oder iPads installieren, sicher sein. Doch ein Versuch von US-Forschern lässt vermuten, dass Apples Türsteher etwas zu einfach gestrickt sind.

Geh mal davon aus dass es automatisierte Tests sind. Und in ein paar Sekunden kann man automatisiert eine Menge testen.

Das ist aber eine Sensationsmeldung !


Wo ist eigentlich der Möchtegern IT-Mogul Herr von und zu Gerhard Uhlhorn oder sein Busenfreund Hannes ?
Ich erinnere mich da noch an Kommentare ala:

"Als ich kürzlich behauptete, dass Android ein Malware- und Sicherheitsproblem hat, hat man mir Basching vorgeworfen. Und jetzt stellt sich raus, dass ich (wieder einmal mehr) doch Recht hatte. "
@Copyright by IT-Mogul Herr von und zu Gerhard Uhlhorn


Es wird dringend um Aufklärung gebeten ! Das können sich doch diese zwei Herren als absolute Apple Vollblut-Profis sowie Kritik-Ablehner nicht einfach kommentarlos im Raum stehen lassen.

git push
Ein solcher Einzelvorfall, falls er überhaupt wahr ist, ist bei Apple ein dem Sicherheitsstandard nicht entsprechender Fehler, um den Apple sich kümmern muss.

Bei Android müsste sich Google nicht wirklich darum kümmern, weil dort ein Sicherheitsmangel von vielen eben relativ unbedeutend ist.

Bildlich gesprochen: Bei Apple ist dies ein Geisterfahrer auf sonst richtungsgetrennten Fahrbahnen; bei Android herrscht grundsätzlich Gegenverkehr mit einer Mittellinie getrennt.

Und wodurch unterscheidet sich der Apple AppStore in dieser Hinsicht dann nun von seinem Äquivalent, dem Google Play Store, bei dem seit langem ebenfalls automatisierte Tests laufen? Wo ist nun der große Sicherheitsgewinn seitens des Apple AppStores, wenn hier nun doch in der Masse ganz offensichtlich auch auf den "human factor" verzichtet wird, der ja doch das große Plus und der große sicherheitstechnische Gewinn und Vorteil sein soll gegenüber automatisierten Tests? Bzw. werden bei Apple Tests durch echte Menschen offenbar auch nur sporadisch und stichprobenartig durchgeführt wie eben im Google Play Store auch?

Bei Apple kocht man offenbar auch nur (noch oder schon immer, nur fällt's jetzt so langsam mal jemandem auf) profan mit Wasser statt mit geweihtem Wasser, das durch normale Kunststoffrohre fließt statt durch goldene Leitungen ...


Eventus:

Dessen wäre ich mir mal an Deiner Stelle nicht ganz so sicher. Hochmut kommt ja bekanntlich vor dem Fall...
Woher weißt Du bzw. kannst Dir sicher sein, dass das kein Einzelfall ist und nicht etwa ein Vorfall, der auf ein systembedingtes Versagen hinweist, welches noch weitere und ganz andere Apps unerkannt an der Kontrolle vorbei in den AppStore hat einsickern lassen?
Apple ist dieser Vorfall vor Monaten bereits gemeldet worden von den Forschern. Und für iOS 7 offenbar berichtigt worden. Es hätte keiner Korrektur seitens Apple bedurft, wenn's 'ne Lapalie gewesen wäre. Woher willst Du wissen, ob und wie lange diese App die Einzige ist bzw. gewesen ist, die auf diese Art und Weise aufgrund zu laxer Kontrolle bei der die Prüfung in den Apple App Store gelangt ist? Wieviele Apps ganz anderer Art mögen es evtl. ebenfalls noch in den Store geschafft haben, von denen man bisher nix weiß bzw. deren Urheber sich aus gutem Grund bisher nicht so ehrlich bei Apple gemeldet haben und sich da lieber bedeckt halten, um weiterhin unentdeckt zu bleiben?

Das Ganze wirft einmal wieder (es ist ja nicht der erste Vorfall dieser Art, der publik wird) ein fragwürdiges Licht auf den Unterschied zwischen Schein und Sein gegenüber Apples gemachten und von Einigen stets so bedingungslos geglaubten und unhinterfragten (Werbe-)Versprechungen auf der einen Seite und der harten Wirklichkeit auf der anderen Seite. Nur weil man eine Gefahr nicht sieht bzw. sie durch unzureichende Kontrollen nicht aufspürt, heißt das noch lange nicht, dass sie damit nicht evtl. doch da und ganz real existent in einem Umfang größer Null ist.

Normalerweise müsste Apple, um ganz sicherzugehen, nach jedem solchen, eine strukturelle Schwäche offenbarenden Vorfall (wie bereits gesagt: es ist nicht der Erste seiner Art), seinen kompletten AppStore bis in den hintersten Winkel hinein nach weiteren blinden Passagieren durchforsten, die es möglicherweise ebenfalls geschafft haben, unter dem Radar hindurchzufliegen. Und zwar mittels automatisierter Tests UND einzeln per Hand und in einzelnen Fällen sogar per Peer-Review (also genau der Art von mehrstufigem Test, der hier in diesem Fall offensichtlich einmal mehr wohl nicht stattgefunden hat). Und das bei einem Umfang von über 50 Milliarden Apps, die es derzeit im AppStore gibt. Viel Vergnügen dabei! Und wenn sie nicht genügend qualifizierten Personal dazu haben: welches dafür einstellen. Und wenn sie das am freien Markt dafür nicht in ausreichender Anzahl kriegen: welches dazu in ausreichender Zahl eigens ausbilden und dafür einstellen.
Womit dann so langsam die Grenzen eines solchen AppStore-Konzepts aufgezeigt werden, wenn man diesen Weg nicht gehen kann oder will.

Keine Ahnung. Ist mir eigentlich auch sch.... Egal. Was willst du von mir? Wende dich doch an die öffentlichen Stellen von Apple wenn du Fragen hast. Ich bin weder bei Apple angestellt noch verantwortlich für deren AppStore Prüfprozess. Insofern leider die falsche Adresse.

sierk

*lol* 50 Milliarden Apps... Denk über diese Zahl noch einmal nach. Da ist wohl der Pessimismus Gaul vollends mit dir durchgegangen....

Das ist Quatsch. Richtig ist, daß vorhandene Befehle wiederverwendet werden, nur in geänderter Reihenfolge ähnlich wie bei Return-Oriented-Programming. Die Reihenfolge wird durch bewußt eingebaute Bugs und den dadurch kompromittierbaren Stack geändert.

Wann hörst du endlich mit deinen Märchen auf?

Wenn du keine Ahnung hast wovon du sprichst, dann lass es doch bitte.
Oder bist ein Mensch der prinzipiell zu bei jedem Thema seinen Teil beitragen muss auch wenn er totalen Quatsch erzählt?

Kauf dir die C´t 17/2013 dort ist ein Artikel über Android und Malware enthalten.
Nach dem lesen dieses Artikels solltest du in der Lage sein zu erkennen, das du bisher nur Unsinn von dir gegeben hast.

Investiere die 3,90 € um dich weiter zu Bilden.

Es wäre mir neu, wenn Apple Quelltexte zur Prüfung zugeschickt bekäme (wäre ja noch schöner). Apple erhält das kompilierte Programm. Wenn da wer die Sourcen kontrollieren will, müsste das Ding erstmal dekompiliert werden. Dann müsste Ordnung in den resultierenden Wust gebracht werden und dann Zeile für Zeile jeder Zugriff kontrolliert werden.

Was Apple wirklich macht: Die schieben das Programm in ein extra System, prüfen automatisiert die API Zugriffe und geben dann das Programm frei oder nicht.


Und selbst wenn da noch was händisch an der Funktionalität kontrolliert wird: Es soll auch Kühlschränke geben die erkannt haben, dass sie im Labor stehen und mit einem Schlag viel weniger Strom brauchen.


Wenn ich den C&C Server erst dann aktiv schalte, wenn das Programm kontrolliert und freigegben wurde, bin ich über den Reviewprozess hinaus und keiner kann bei Apple ohne weiteres nachvollziehen, was ich ab da mache, da das Programm nicht mehr so schnell in den Review kommt. Und wenn dann mal wer drauf kommt, das ich was böses mache und Apple zieht den Stecker, indem das Zertifikat zurückgezogen wird, hab ich bis dahin immernoch Schaden anrichten können. Die bis dahin gezogenen Daten auf meinen Servern verschwinden dann ja nicht auf wundersame Weise.
Ja, da ist dann wohl mal ein Programm durchgerutscht aber sonst gibts da nichts böses im Store, denn sonst hätte man ja davon gehört. Klar, Stuxnet existierte ja auch erst 2010, als es gefunden wurde. In den Jahren davor, war der einfach nicht da. Der ploppte mit einem Mal auf, weil Symantec den fand. Prinzip Was ich nicht sehe ist auch nicht da.

Wenn ich mir allein die Top-200 Gratis Spiele ansehe gibt es genügend Programme, bei denen ich sagen würde, dass man die zumindest kritischer beäugen sollte. Aber Apple hat ja die Übersicht bei jedem einzelnen App was eingereicht wird. Klaro.

Das Ergebnis des Tests ist nicht verwunderlich. Die totale Kontrolle und Sicherheit wie Apple sie seit Jahren suggeriert ist technisch einfach unmöglich, allein schon von der Größe des Stores her (die schaffen es ja nichtmal, ein brauchbares Interface für des Berg an Programmen zu entwickeln). Zusätzliche händische Kontrollen bei > 1 Million Programmen sind technisch nicht zu machen und würden den Freigabeprozess von Hotfixes oder Updates unendlich in die Länge ziehen. Und selbst dann könnte ich als fieser Blackhat, wie oben gezeigt, immernoch warten bis das Programm freigegben wurde.

Ist die Computer Bild nicht noch günstiger und gleich schlecht?

+1

Ich habe das Gefühl das du Überhaupts nichts dazu lernen möchtest, um weiter deinen Märchen verbreiten zu können.

Jeder aber auch jeder in der CT Redaktion steckt dich in die Tasche.

BudSpencer
Ich finds knuffig, wie du dich ärgerst, wenn ich etwas schreibe, was du für falsch hältst. Da ist Terence viel lockerer drauf – nimm dir an ihm ein Beispiel, Bud. Und jetzt bitte nicht hauen!

Ignoriere weiter die Tatsachen und spiel mit deinem Rosa Einhorn weiter.

Unverschämtheit, sowas..! Mein Einhorn ist nicht rosa, sondern lila!!!

Genau!

Meins ist rosa!

Diese Art Angriff ist auch problemlos bei Open-Source-Projekten möglich. Du erkennst es nicht mal am Quelltext.

• Google schaltet sofort frei und prüft später.
• Google erlaubt beliebiges dynamisches Nachladen von Code.
• Google stellt die Identität der Entwickler nicht sicher.

Zum Beispiel.

Guckst Du hier:

engadget.de:
Android: Gravierendes Sicherheitsproblem bei Apps mit Werbung