Das ist doch alles Panikmache und treibt die Leute nur nach Android, weil iOS ja auch unsicher ist....

Tatsache ist doch:
Wer seine Programme aus dem Apple App Store holt, hat nichts zu befürchten, wie MTN ja auch geschrieben hat.

@o.wunder
Das sind wirklich neue Töne von Dir.

War noch vorm ersten Schnaps

Kannst Du lesen?

Es werden harmlose Apps aus dem Appstore durch schaedliche Apps ersetzt ohne dass Du was merkst? Ausserdem wie soll da Panikmache sein, um Leute zu Google zu treiben, wenn ausgerechnet eine Google App angegriffen wird?

Die meisten Meldungen zu irgend welchen Links, welche gern ausgeführt werden möchten, bekomme ich tatsächlich über die MTN-App …

quatsch. du musst
1. zusimmen dass die app xy installiert werden soll (aus safari raus).
2. zustimmen dass man dem entwickler "xy" traut und dessen app "gmail" jetzt gestartet werden soll

man sollte also 2 mal stutzig werden wenn da 1. gmail neu installiert werden will und 2. gmail plötzlich von Jin Min Win stammt und nicht mehr von google...

+1
Leider allzu wahr. Finde ich fast schon wieder gut als Training, damit man sich nicht zu sicher fühlt...

U.a. hier steht ein wenig mehr dazu als im MTN-Artikel:

Golem (11.11.2014): iOS: Schwachstelle erlaubt Installation manipulierter Apps
Vor einer weiteren Angriffsmethode auf iOS warnen Datenexperten. Mit Masque Attack lassen sich manipulierte Apps über bestehende installieren. Grund ist eine unzureichende Zertifikatsprüfung.


o.wunder:

Was ist daran Panikmache, dass darüber berichtet wird, was IST? Hört doch endlich mal auf, in völliger Unkenntnis der Dinge, den Leuten dauernd den Mund zu verbieten und ihnen Panikmache zu unterstellen, nur weil sie Dinge aussprechen, die euch offenbar in den Ohren wehtun und euch offenbar ein Stich ins Herz sind. Es gibt Gründe, warum drüber gesprochen wird (und zwar Gründe, die nur im Sinne des Nutzers sein können), es gibt Gründe, warum gewarnt wird, und es gibt Gründe, warum Apple regelmäßig auf solche Berichte und Warnungen reagiert und nachbessert und patcht! Jede einzelne Nachbesserung seitens Apple, jeder einzelne Patch seitens Apple ist eine direkte Bestätigung dessen, dass diese Lücken existiert haben, bzw. noch existieren und dass es richtig war und ist drüber zu berichten! Teilweise reagiert Apple ja erst dann, wenn öffentlich drüber berichtet wird, vorher passiert da ja oft gar nichts. Es gibt Gründe, warum verschiedene Experten irgendwann die Schnauze voll haben davon, wenn ein Konzern nicht reagiert, sie erhöhen den Handlungsdruck, indem sie damit an die Öffentlichkeit gehen. Apple reagiert leider nicht selten erst dann spürbar bzw. überhaupt und zeigt den Nutzern gegenüber Aktion. Leider ist dem so. Leider!

Zumal diese und die vorangegangenen Lücken eigentlich keine kleinen Nummern, keine Lapalien sind. Sondern durchaus Potential haben und entsprechend ernst genommen werden sollten. Apple nimmt sie jedenfalls inzwischen ernst. Ernster als manche Nutzer hier sie aus ihrer Unkenntnis und Unbedarftheit heraus nehmen.

Die Welt ist eben nicht rosarot! Und der Mensch ist eben nicht nur gut! Face the facts.
Und wir leben weder in einer Diktatur noch leben wir in einer Sekte oder einem Kalifat oder ähnlichem, wo es bei Strafe verboten ist, unliebsame Dinge laut auszusprechen.

iOS und MacOS sind absolut sicher. Niemand hat die Absicht, eine Schadsoftware für iOS oder MacOS zu entwickeln, was ja auch gänzlich unmöglich ist, wie man jahrelang in diesem Forum lesen konnte.

Sorry, das musste mal sein

Halte ich auch für Unsinn. iOS ohne Jailbreak ist, nicht zuletzt dank ausgefeilter Sicherheitsmechanismen, nahezu uneingeschränkt auch dem größten DAU zu empfehlen.

Da kann auf keinen Fall jemand was schadhaftes einfach so installieren. Das geht nur mit Jailbreak!

Okay, aber bevor man eine solche App in Umlauf bringen will, braucht man also einen Developer-Account für 99$, muss am iOS Developer Enterprise Program für 299 $ teilnehmen und benötigt eine verifizierte D-U-N-S?

ich geh mal davon aus dass siche die kriminellen irgendwo so eine klauen. also den private-key.
wird genug dumme entwickler (oder dessen manager) geben die nicht wissen dass sie den private key auch private behalten sollen...

Krass. Wie lässt sich denn auf einem nicht gejailbreakten iOS etwas aus Safari installieren?

Wer bewusst ein iPhone kauft, und sich somit weitestgehend sicher fühlen kann, per Safari ein Programm laden und installieren will, ist schlicht und einfach selbst schuld.

Artikel nicht gelesen? Da steht es doch:

Zentrale Rolle spielt aber erneut ein Entwicklerzertifikat für Großunternehmen (Enterprise Provisioning Profile), mit dem Apps abseits des App Store auf das Gerät gespielt werden können.

Mit einem Entwicklerzertifikat lässt sich über Safari auf jedem Eifon eine App ohne Appstore installieren.

Oder meinst du das technische das "wie"? Auch das steht doch im Artikel, sogar mit Screenshots. Du rufst über Safari eine Seite auf, es erscheint ein Popup ob du App X installieren willst Ja App wird installiert.

Hier sollte ein zusätzlicher Check bzgl. des Zusammenhangs Bundle Identifier und Zertifikat eingebaut werden, um diesen Angriff zu blocken. Mal schauen...

In diesem Fall ist es ja tatsächlich mal so das MTN auf die Unsicherheit hinweist und Tips gibt wie man eben nicht drauf rein fällt.

Von daher, danke für den Artikel. Und das wir nur die "guten" Dinge aus dem App Store laden sollten sollte inzwischen ja auch jedem klar sein

Wobei ich allerdings fürchte das es auf kurze oder längere Sicht hin Hackern gelingen wird Schadcode auch in den AppStore einzuschleusen und man diesen dann quasi ganz offiziell von Apple, natürlich ohne deren und unsere Kenntnis, erhalten wird.

Bahaha, auf einmal sind schwächere Argumente für 'ist sicher - der User muss dem ganzen mehrfach zustimmen' zulässig. Früher war es nach dafürhalten der anwesenden Android-Unsicherheitsexperten absolut tödlich, dass der User bei Android Apps aus anderen Shops installieren kann, wenn er unter Missachtung mit mehreren Bestätigungen und hinweisen eine Option in den Entwicklereinstellungen aktiviert und nachher jede App Installation inklusive des fremden App stores unter Androhung von Gefährdungen bestätigen muss. Ihr seid schon witzig hier

das ist aber ein feature.
ich habe zb ein app von meinem account auf den kunden-account übertragen. ging alles problemlos. würde mit deiner geforderten änderung aber nicht funktionieren.

loooooooool

@sierkb
Die Welt ist eben nicht rosarot! Und der Mensch ist eben nicht nur gut! Face the facts.
Und wir leben weder in einer Diktatur noch leben wir in einer Sekte oder einem Kalifat oder ähnlichem, wo es bei Strafe verboten ist, unliebsame Dinge laut auszusprechen.
Du hast ja sooo recht.

Hey, ich hab Apple geschrieben, ob ich eine App öffen darf ohne befürchten zu müssen, dass mein iPhone beschädigt wird.
Ich wurde als Betatester eingeladen eine App zu installieren.
Die App wurde über das Internet auf mein iPad geladen.
Ich war erstmal schockiert, das dies ohne über den AppStore ging.
Die App befindet sich bis heute auf meinem iPad doch ich habe sie nie geöffnet, weil ich seit 1 Monat bereits auf die Antwort vom Apple Support warte.
Die sind wohl zu beschäftigt, um sich um eine Meldung anzunehmen die iOS Geräte gefährden könnte.
Mein Gefühl sagte zu mir, öffne die App nicht.
War aber oft drauf und dran dies trotzdem zu tun.
Jetzt nach dieser News Meldung lösche ich auf jeden Fall die App.

Den Link habe ich per eMail zugeschickt bekommen.
row.tap4fun.com
Bitte nicht auf einem iOS Devise öffnen, denn dann wird eine App installiert
Wer weis was passiert.

Wo ist der Unterschied zu Android?

Auch da hat man nichts zu befürchten wenn man nur den Play Store nutzt.

Laut Heise kann sich die neue App als alles ausgeben was sie will. Es wird zb. Angry Birds installiert (oder auch NAVIGON cracked...), in Wirklichkeit wird jedoch die Mail-App ausgetauscht.

Ist das so gewollt von Apple mit dem Entwicklerzertifikat?
Klingt irgendwie komisch.

Ich habe kein Verständnis für Eure Herumhackerei aufeinander. Stattdessen solltet ihr mal Mactechnews Meldung mit dem vergleichen, was andere Newsdienste schreiben.

heise/security:
"Das Sicherheitsunternehmen FireEye hat eine Angriffsform auf iPhone und iPad demonstriert"

thesafemac.com:
"FireEye’s blog post includes a video showing their proof-of-concept malware"

apfeltalk.de:
"Das Sicherheitsunternehmen FireEye hat die Vorgehensweise dabei in einem Video dokumentiert."

iphone-ticker.de:
"Dies geht aus einem Experiment der Sicherheits-Forscher Hui Xue, Tao Wei und Yulong Zhang hervor, die für die Security-Firma Fireeye tätig sind."

Nur Mactechnews schreibt:
"Nur eine Woche nach Aufdeckung der Schadsoftware WireLurker nutzen Angreifer erneut Unternehmenszertifikate zur Manipulation von iPhone und iPad."

Mactechnews macht in diesem Beitrag aus der Demo eines Exploits einen tatsächlichen Angriff. Ich glaube mein Schwein pfeift. Ihr gehört doch mit dem dauerhaften Entzug aller grafischen Benutzeroberflächen gestraft !!!

architektenwerk.de (apfelwerk.de):

Wer von der Firma Apfelwerk schreibt da grad' und versteckt sich anonym hinter einer Maske? Hannes Gnad? Thomas Kemmer? Andreas Schenk?

The Safe Mac (11.11.2014): Major iOS insecurity! :

Und womit hast Du nun ein Akzeptanz-Problem? Verniedlichung hilft nicht, hilft nicht mehr, die Zeiten sind vorbei. Face the facts. Seid doch froh, dass rechtzeitig gewarnt und sensibilisiert wird! Und nicht erst dann, wenn das Kind schon in den Brunnen gefallen ist (Stichwort: Flashback).

sierkb
Aus einem Proof of Concept flugs tatsächliche Angriffe zu erfinden ist ebensowenig hilfreich wie Verniedlichung. Ist mir übrigens entgangen, wo hier etwas verniedlicht wurde.

Mein Username ist übrigens deutlich älter als die Fa. Apfelwerk. Was tut es zur Sache, wer sich dahinter verbirgt?

architektenwerk:

Was ist an dem Satz We have seen proofs that this issue started to circulate. für Dich so schwer zu verstehen? Die Lücke wird laut Aussage FireEye schon ausgenutzt! Völlig abseits von deren Proof of Concept.

Da wurde und wird nichts erfunden. Oder anders gesagt: beweise, dass die lügen. Kannste nicht. Also gehe im Sinne der Nutzer mal vom worst case aus und nimm an, dass sie rechthaben mit dem, was sie sagen, und dass sie nicht grundlos warnen. Sei doch froh, dass sie warnen. Besser als die Schnauze zu halten und die Nutzer im Unklaren lassen und ihrem Schicksal zu überlassen. Was regst Du Dich eigentlich drüber auf? Wer bist Du eigentlich, dass Du behaupten kannst, FireEye würde sich das aus den Fingern saugen? Welche fachliche Expertise hast Du, die über deren Urteil drüber steht und besser zu überzeugen weiß mit anderslautenden Fakten? Dann bitte auf den Tisch des Hauses damit! Statt FUD zu streuen.

In dem vorliegenden Fall eine Menge. Ehrlichkeit und Offenheit dem Nutzer gegenüber, wessen Interessen da grad' durch diese Stimme vertreten werden zum Beispiel.

Und wo kommt Bitteschön die Schädlings-App her? Wohl kaum aus dem Apple App Store!