Sophos warnt vor Safari-Sicherheitslücke: iPhone 3G weiterhin verwundbar
Die Antiviren-Experten von Sophos haben eine nicht unwesentliche Anmerkung zu der beim gestrigen „Pwn2Own“-Wettbewerb gefundenen Sicherheitslücke im MobileSafari-Browser des iPhones (wir berichteten).
Apples Entscheidung, das iOS 4.3-Update nur für das iPhone 3GS und des iPhone 4 anzubieten würde die Tatsache außer Acht lassen, dass die zweite iPhone-Generation dem Angriff, mit dem sich unter anderem das komplette Adressbuch des iPhones schon beim Besuch einer entsprechend vorbereiteten Webseite übernehmen lässt, komplett ungeschützt gegenüber steht.
So if you have an earlier iPhone or iPod touch your device is probably vulnerable to attacks which exploit these security holes, and there is no official patch available for you to protect yourself. That’s bad news for the many people who still have an iPhone 3G, for instance. […] if you were happy with your iPhone 3G, I doubt you’re feeling too good about having to reach into your pocket.
Ein nachträgliches Update für Nutzer des iPhone 3G ist unwahrscheinlich. So schützte Apple auch das iPhone classic nicht mehr vor der im August 2010 gefundene PDF-Sicherheitslücke. Nutzer der 2. iPhone-Generation passen beim Surfen also bitte auf.
Naja da wird es bestimmt noch etwas bei cydia geben. Über cydia gab es ja später auch ein prog das vorher fragt ob pdfs geöffnet werden sollen
Abwarten
Das hoffe ich
Ach kommt Leute.
Bei dem ganzen Thema steckt mindestens 50% PR mit drin. Sophos macht schon seit Jahren Security Zeugs mit Apple. Und wie kann man sich alle 3G user schnappen und ihnen noch n neues Iphone andrehen?
RIGHT. Mal schön auf die Security-Drüse drücken.
Das ist einfach nur sowas zum kotzen dass sich Apple einen Scheißdreck um die älteren Generationen schert…
So ist die Firmenpolitik nunmal. Alle Konzerne wollen, dass du die neusten Produkte kaufst. Tust du dies nicht, ist halt dein Adressbuch geklaut.
Es gäbe also drei Möglichkeiten: 1) Neustes Produkt kaufen und auf dem aktuellesten Stand sein. , oder 2) das alte Gerät nicht mehr benutzen, oder 3) es benutzen, aber mit dem Wissen, dass man selbst verletzbar ist.
oder auf android umsteigen ;)
@Patrick
Also DAS ist für mich keine Option! ;-)
oder auf ne jailbreak lösung warten :)
Super Patrick! Auf Android wechseln…
Hier existiert eine ähnliche Sicherheitslücke über die große Teile des Dateisystems ausgelesen werden können. Es sind alle Versionen bis einschließlich Android 2.3 betroffen. Der Exploit wurde bereits vor längerem veröffentlicht.
Es existiert somit zurzeit kein sicheres Android Smartphone.
Welcome to the real world…
Opel ruestet seine oldtimer aus dem jahre 1950 auch nicht mehr nachtraeglich mit airbags aus
Das ist ja lustig,aber OT
Zum Kotzen, ja?
Dann Suche mal Smaetphoneheesteller die Ihre Software so oft aktualisieren oder so lange ältere Modelle im die Aktualisierung mit einbeziehen!
Kauf dir doch ein Scheiß HTC!!!!!
Ohhh du armer Apple-extrem-Fan. Möchtest du ein Taschentuch? Komm runter digger, er hat nichts über deine Mama gesagt!
Was er recht hat, hat er recht mein lieber Freund. Genau owas ist zum kotzen. Leute die herumheulen weil alte Geräte nicht mehr aktualisiert werden. Dann sollen sie doch den Hersteller wechseln und sich so ein scheiß HTC kaufen :-)
Duden gefällig…?
die fehlerhaften updates auch noch in den himmel loben… apple is ja schlimmer als microdoof…
Sauerei! Das alles wird mir immer unsympathischer!
Und welche webseiten sind das ?
Ich hoffe noch keine !
Wie jedes gesunde Unternehmen spar auch Apple.
Wenn Apple sich um jedes alte gerät kümmern würde, sind das wieder kosten die Apple in die entwicklung vielleicht steckt.
Stellt euch mal vor BMW oder Mercedes produzieren immer noch Teile für die aller ersten Modelle.
Ältere gen ohne jailbreak sind einfach unsicher ! Mit diesem kann man die Lücken wahrscheinlich schon bald schließen. Natürlich ist klar das ein altes dann immer langsamer wird desto mehr ich installiere .
Schade das es kein Spagat zwischen sicher und Nutzbarkeit gibt ! Vorallem bei einem iPhone !
Das Bsp mit der automobilbranche is quak ich will ma sehen wie du ein ersatzteil aus der iPhone firmware bastelst :-D
Bei Autos ^^ja möglich Einfach von nem schrottauto Ersatzteile zu kaufen ;)
Ausgenommen du heißt natürlich Jay Freeman oder George hotz oder nennst dich im Internet muscle nerd :-D
Der Autovergleich geht nach hinten los. BMW, Mercedes und alle anderen Autohersteller produzieren mindestens zehn Jahre lang Ersatzteile für alte Modelle, oft noch länger. Bei Mercedes zählt es zur Imagepflege, die Oltimerszene weiter zu versorgen. Und wenn die Autohersteller selber nicht mehr produzieren, bekommt man wenigstens die Zeichnungen, um in einer unabhängigen Werkstatt etwas nachfertigen lassen zu können.
Gibts hier jemanden der ein iPhone in einer Werkstatt nachfertigen lassen möchte? Man du redest Quak hoch 3. Erstazteile bekommt man auch für alle iPhone Generationen. Nur!!! Geht es hier um Ersatzteile oder um eine Sicherheitslücke? Erst denken, dann schreiben.
Was denn für Extrakosten?
Apple müsste einfach nur das iOS 4.3.1 auch für das 3G (ich besitze selbst noch eins) freigeben und fertig.
Das kostet keinen Cent extra!
Stimmt nicht da Apple mit dem Geschwindigkeits Argument da reinhaut ! Verständlich das man da nicht alle neuen Funktionen draufhaut !
Aber Sicherheit Updates kosten . Ist ^^ja logisch !
Sollten eine 2 Te update möglichkeit anbieten bei dem Preis von iOS devices . Ich behaupte ma Apple ist der BMW Der smartphones Hersteller
Er hat gesagt, Apple kostet es keinen Cent extra. Wie kannst du dann schreiben, stimmt nicht da Apple mit dem Geschwindigkeitsargument reinhaut? Ja und wenn sie mit diesem Argument reinhauen, deswegen kostet Apple es trotzdem keinen Cent. Apple braucht nur das iOS 4.3.1 auch fürs 3G freigeben. Daher stimmt es sehr wohl und zwar dass Apple es keinen Cent kostet. Denn etwas grossartiges umprogrammieren müssen sie beim iOS 4.3.1 nicht. Nure freigeben!!!
Mercedes macht das in der Tat, ebenso wie Rolls-Royce
Das zeigt uns doch nur mal wieder auf das die Jailbreaker schneller ihr iPhone Sichern bis Apple reagiert…
Richtiiiiiig
Das ist genau richtig so….. 3 G ist 3 Jahre alt, ist doch ganz normal. Bei allen anderen Anbietern gibt es in den 2 Jahren nicht mal paar Updates.
logisch – weil gleich alles im Handy an Software dabei ist was man braucht. Nicht wie Apple die sich alles erst nach und nach vom Jailbreak und der Konkurenz abgucken müssen.
Aha! Was braucht man denn alles an Software im Handy? Eigentlich nur um telefonieren zu können oder? Alles andere ist nur Schnick Schnack. Aber zeig mir mal einen Handyhersteller wo alles an Software dabei ist, eine gute Bedienführung hat, ein gutes Design vorweisen kann und und und. Aber das beste ist ja immer noch das ander Hersteller von Apple abgucken. Denn wer hat das Smartphone erfunden? Nicht die Schweizer sondern Apple :-) Oft kopiert und nie erreicht. Apple ist erst seit 4 Jahren im Handysegment. Und es ist wohl echt beeindruckend welchen Fortschritt die vierte Generation mit sich bringt. Nokia und Co. haben es in über 10 Jahren nicht geschafft in sämtlichen Modellen soviel Fortschritt einfliessen zu lassen wie Appple in 4 Jahren. Andere Hersteller bieten zig verschiedene Modelle an und und und. An Software ist bei denen alles dabei aber die Bedienung lies imme rzu wünschen übrig. Wenn es Apple nicht gäbe, würde es heute keine so fortschrittlichen Smartphones geben. Apple ist immer einen Zug voraus. Kein anderer Hersteller wär auf die Idee gekommen neue Ideen auf den Markt zu werfen wie Aplle das iPad. Apple zeigt vor, ander kopieren es :-)
Apple braucht sich nichts abgucken. Die Konkurrenz kann sich von Apple etwas abgucken. Die Konkurrenz ist einfach nur einfallslos. Aber wehe bei Apple fehlt an Software paar Funktionen. Dann heissts gleich, sie müssen sich erst nach und nach vom jailbreak und der Konkurrenz etwas abgucken. Kein Handyhersteller hat es in 4 Jahren geschafft technologisch so einen Vorsprung hinzulegen.
Autohesteller sind verpflichtet 10 Jahre lang Ersatzteile zu liefern ab dem Tag des letzten Verkauften Neuwagen einer Serie. Sollte bei Handy „allgemein“ ähnlich sein. Das man dort evtl 4Jahre etc ansetzt. Reicht ja ein separates Update. Bei den APP’s im Cydia Store wär ich skeptischer als bei den webseiten die ich besuche. Von daher würde ich so oder so nicht jailbreaken.
fAiL!
du redest absoluten Blödsinn
Das ist Problem was ich an iOS hasse
Wegen paar kb muß ich gleich das ganze iOS installieren. Stellt euch mal vor es wäre bei Windows so, dann wären wir aus der neuinstall. nie wieder raus kommen! Android und win7 mobile schaffen es doch auch und jb kann es doch auch über cydia. Und zu dein Unsinn mit dem Auto Vergleich Safari bleibt Safari es geht hier nicht drum aus ein Polo ein Porsche zu machen. Und mein Auto ist 18 jahre und bekomme noch alle Teile beim Händler (vw) und mein 3G nicht mal ganze 3 Jahre. ES GEHT DABEI UM SICHERHEIT IN DER SOFTWARE UND KEIN NUEN ERSATZTEIL
Bei allen anderen Herstellern Bekommst du nach 3 Jahren auch keine Updates mehr, bzw, in den 2 Jahren schon nicht mal welche
Andre Hersteller sollten nicht das maß für Apple sein ! Der Nutzer ist das maß
Richtig bringt doch nichts wenn die Nutzer nach Updates schreien und Apple die Ohren bei android hätte anstatt an Updates zu arbeiten
Andere Hersteller sind auch nicht das Maß für Apple sonst würden nicht regelmässig updates erscheinen oder?
Eine komplette Neuinstallation des Betriebssystems bietet in der Praxis immer eine bessere Performance als ein Patch.
Da der Download der aktuellen Firmware für ein iOS Device bei einer guten Internetanbindung im Normalfall nur 2 bis 10 Minuten dauert stellt sich mir die Frage wieso man nicht diese wenigen Minuten warten sollte um am Ende eine bessere Geräteperformance zu erhalten?
Was die Dauer des Supports angeht: Apple bietet von allen Consumer-Smartphone-Herstellern den längsten Softwareupdate-Support. Und dieser liegt bei rund 2,5 Jahren, deckt also durchaus den normalen Verwendungszeitraum eines Mobiltelefons ab.
Leute die sich bei einer Vertragsverlängerung kein neues Mobiltelefon leisten können mögen darüber zwar nicht unbedingt erfreut sein, aber sollten auch daran denken, dass sich der Smartphonemarkt rasant entwickelt und weder mit Desktop-Computern noch mit Autos oder dergleichen vergleichbar ist.
Wer bei Smartphones immer auf dem neustem Stand sein möchte und „Taschengeld“ seine einzige finanzielle Einnahmequelle hält sich definitiv in den falschen Gewässern auf. Wobei ein neues iPhone bei der Vertragsverlängerung auch nur rund 100 bis maximal 200 Euro kostet.
also ich find es unzumutbar, von apple updates für das 3G zu erwarten. also diese gigantischen kosten, die durch das erstellen eines patches entstehen, kann man denen echt nicht zumuten. so etwas schaffen nur iphone-bastler in ihrer freizeit… immerhin liegt das vertriebsende dieses gerätes schon zwei bis drei monate über dem, was andere hersteller an garantie gewähren. nur bei apple kann man sich diese eigentlich selbstverständliche leistung für schlappe 70€ erkaufen. apple ist schon echt sehr kundenfreundlich. und das, obwohl die geräte soo günstig sind!
Günstig?????ein Handy für 700€ finde ich teuer im Gegensatz zu android (bin Schüler und finde 700€ viel geld
Ironie gehörte wohl nicht zu Deinen Unterrichtsinhalten…
Teuer ist nur dann etwas wenn das gleiche Produkt bei einem anderen Hersteller billiger ist. Dann spricht man von teuer. Und 700€ für ein iPhone 4 32 GB frei ab Werk ist viel Geld aber doch nicht teuer. Android Handys kosten auch nicht viel weniger. Und bevor ich mir ein um 500€ – 600€ ein Android Handy kaufe, kaufe ich mir lieber ein iPhone 4 um 700€, wobei man die 16 GB Variante für knappe 600€ bekommt. Ganz gleich welche Variante, der Vorteil gegenüber einen Android Handy liegt auf der Hand :-)
Wer hat denn heute noch ein 3G?
Ich! Ein iPhone 4 und ein 3G, wobei ich nur das 3G nutze! Das 4er ist hässlich!
Den Schenk mir dein 4er:-)
zB Leute, die nicht im Geld schwimmen, bzw nicht jeden scheiß Hype mitmachen!!!!!
Der Vergleich mit den Handys hinkt. Man kann die Handys, die bisher erschienen sind, nicht mehr mit Smartphones von heute vergleichen.
Die Handys damals waren ziemlich unangreiflich, da sie über keinen Zugang zum Internet verfügten und wenn sie dann doch schon über WAP verfügten, gab es keinen Zugriff aufs System.
Sie konnten Telefonieren und SMS, später dann auch MMS, ins WAP, moderne dann über Hilfen auch auf Webseiten und E-Mailen.
Es bedurfte keine Updates, die es dann irgendwann gab (Updates gibt es auch erst seit ca.vier Jahren), aber nur dafür waren, um zum Beispiel Tonprobleme, Akkulaufzeiten und ähnliches zu verbessern. Sicherheitsuldates waren nicht nötig.
Heutige Smartphones sind aber kleine Computer, das siehst man schon an den Prozessoren, die sie heute eingebaut bekommen.
Was bedeutet, dass dort ganz andere Maßstäbe angesetzt werden sollten, was vor allem Sicherhheitsupdates betrifft.
Ich finde, man kann hier schon Maßstäbe ansetzen, wie man sie von Computer-OS kennt.
Mag sein, dass die Ex-Handyhersteller (heutige Androidenhersteller) das noch nicht verstanden haben und ihre alten Maßstäbe aus Handyzeiten ansetzen, auf Dauer können sie sich dem aber auch nicht mehr verschließen.
Es wäre schön gewesen, wenn ein Hersteller, wie Apple, der primär als Computer- und OS-Hersteller bekannt ist, eine Vorreiterrolle spielen würde.
Amen aber recht haste :-)
Signed! Ich kann mir schon vorstellen, dass der 3G einfach nicht mehr schnell genug ist. Aber wenigstens ein paar kb an Updates für die Security-Lecks sollten für eine gewisse Zeit doch drin sein, oder?
Updates gibt es schon seit über 4 Jahren. Oder kennst du kein PalmOS oder WindowsMobile???
Hi Justus, ich glaube, wir reden aneinander vorbei. Guck Dir bitte den Post von Hallerinho weiter unten mal an. Er bringt das noch mal detaillierter auf den Punkt. Greetz
„wenn sie dann doch schon über WAP verfügten, gab es keinen Zugriff aufs System.“
Wer hat dir denn den Schwachsinn eingebläut?
Weil es diesen Zugriff so nicht gab. Ja klar, man konnte das Handy abstürzen lassen – das geht auch per SMS.
Der Griff von WAP direkt ins „Telefonbuch“ oder Bereiche in den denen private Daten hätten liegen können, war nicht möglich.
Das gaben schon die Speicher der Handys nicht her. Die wäre hoffnungslos überlastet worden.
Also war oder ist de facto nur der Absturz möglich oder etwas wirr reagiert. Das hat sich aber erledigt, sobald man dem Handy einmal das Akku entfernt.
Bei einem iPhone, oder jedem anderen modernen Smartphone ist dies aber anders. Man kann, wenn man Sicherheitslücken findet, auf nahezu alle Daten greifen. Man kann sie lesen, sich schicken lassen, theoretisch sollte sogar das mitloggen der Daten möglich sein.
Heißt in der Theorie, ich besuche auf meinem iPhone z.B. meine Bank, gebe meine Daten und das alles kommt beim Angreifer an.
Würde es so eine Lücke geben, würde Apple sie nach bisherigem Verfahren nicht mehr schließen.
Man stelle sich vor, bei Windows finde man eine solche Lücke. Ein Aufschrei und Gemecker ginge durch die Welt, wenn MS kein Patch zum Beispiel für XP herausbringe, obwohl XP hoffnungslos veraltet ist und man genug Gründe hätte, es nicht mehr zu unterstützen.
Und dass einer meine Daten aus dem Adressbuch auslesen kann, empfinde ich als eine große Lücke. Schön, dass mein neues iPhone 4 diese Lücke dann irgendwann nicht mehr haben wird, aber mein iPhone 3G, das immer noch seinen Dienst mit versieht, muss mit der und wer weiß, was noch kommt, Lücken leben.
Und das geht, wie gesagt, nicht nur Apple an, das ist etwas, was sich alle Hersteller überlegen sollten.
Oh man, die Comments hier sind einfach nur noch peinlich. Kann mir einer einen Handyhersteller nennen der länger Updates bereitstellt als Apple?
Ich arbeite seit vielen jahren in der Mobilfunk-Branche, und mir fällt kein einziger Hersteller ein!
Apple ist hier immernoch ein gutes Beispiel, und das 3G hat halt schon ein paar Jahre aufm Buckel…
Gerade weil es sich beim iPhone nicht mehr um ein Handy handelt, kann man es eben nicht mehr mit den Zyklen der Handys vergleichen (s.o.).
Handys waren nahezu unangreifbar, Smartphones sind angreifbar und können wie ein angegriffener PC eine „Gefahr“ darstellen.
Das müssen aber alle Hersteller noch verstehen, so gesehen stimmt es, dass Apple zumindest bei der Unterstützung von 2,5 Jahren besser ist, als Androiden Hersteller, die, wie Sony-Ericsson beim x10 noch nicht einmal ein Jahr aushalten.
Dennoch sollte man 2,5 nicht als Maß nehmen, sondern die Zeiten von Sicherheitspatches, wie in der Computerindustrie. XP ist fast 10 Jahre alt und die bekommen noch immer Patches, meine ich.
Totaler Quatsch. Natürlich sind alte WAP Handies genauso angreifbar. Durch die Fragmentierung des Marktes und der fehlenden mobilen Flatrates waren sie für Hacker nur total uninteressant. Außerdem gab es nicht so gut gefüllte Adressbücher, Bankinginformationen, Bilder und was weiß ich nicht alles auf den Geräten.
Ich war neulich in nem Security Seminar und da hatte der Moderator nen Nokia63xx gekapert.
Dein Kommentar ist genauso peinlich und kann nur von jemandem kommen, der kein 3G (oder nicht mehr) hat.
Nicht jeder schwimmt so im Geld um sich jedes Jahr ein neues iPhone zu kaufen.
Jedes Jahr muss ja auch nicht sein. Ich finde 2 Jahre Udates sind völlig ok Seitens Apple da ist Apple immer noch Vorreiter.
Wenn du rs dir nicht leisten kannst, alle zwei oder drei Jahre ein iPhone zu kaufen, dann solltest du andere Hardware einsetzten.
Meine Meinung ist, dass sich Apple in diesem Punkt das Leben selber schwer macht.. Dass sie nach einiger Zeit keine großen updates mehr für alte Geräte herstellen – von mir aus.. Aber Sicherheitslücken sollten weiterhin geschlossen werden.. In cydia sieht man, dass kleine patches helfen, diese aktuellen Lücken zu schließen! Warum bietet apple solche patches nicht an? Der App-Store wäre perfekt dafür! Auch wenn solche Updates den Sicherheits- und Rahmenbedingungen nicht gerecht werden, mit diesen Maßnahmen wäre allen geholfen!!
Und wenn nicht im Appstore, dann halt im Patch-Store oder was weiß ich was :)
Manchmal steht man sich selbst im weg bei Dingen, die so einfach sein können..
Apple ist einfach zu teuer, um einfach den Support nach noch nicht einmal 3 Jahren einzustellen. Es ist logisch, das IPhone 3G softwareseitig nicht mehr weiter zu entwickeln, aber auch gleich alle Sicherheitsupdates einzustellen, ist dreist.
Zudem ist das IPhone 3G immer noch nicht schlecht geworden. Es bietet zwar einige der neuen Funktionen nicht, was klar ist, aber es ist immer noch verlässlich. Es macht nach wie vor das, was es soll.
Sehe ich genauso. Nicht jeder will und kann sich immer das neueste Modell leisten. Ich wage zu behaupten, dass die meisten 3G-Nutzer mit dieser Lösung (Beschränkung auf die Sicherheitsupdates) einverstanden wären.
Apple könnte ja eine Firmware 4.22 für 3G user rausbringen, wo nur die Sicherheitslücken gefixt sind.
Was aber, wenn danach gleich wieder eine lücke gefunden wird? Wieder das komplette ios als 4.23.
Daher die bessere Alternative, wäre so ein update system, wie z.B in Win. Wo die user die Möglichkeit haben diese kurz zu patchen.
Wie oft willst du dann dein iPhone patchen? Der Windoofvergleich hinkt.
Um auf das Thema zurückzukommen, das Problem ist sekundär Safari sondern viel mehr das Adressbuch selbst. Apple ist nicht in der Lage (bzw. will es nicht) mir als Anwender die Entscheidung zu überlassen ob eine Anwendung auf das Adressbuch zugreifen darf oder nicht. Meines Wissens hat momentan jede Anwendung die Möglichkeit per API direkt auf meine Kontakte zuzugreifen, das heißt im Klartext ihr diskutiert hier über die Möglich die Hintertür zu versiegeln während zum Haupttor eure Daten raus maschieren ;-). Die vermeintliche Sicherheitsabfrage die manche Apps durchführen „Darf auf ihre Kontakte … blabla …“ ist schlicht und ergreifend eine freiwillige Geste des Programmerstellers, er kann aber auch so auf die Daten zugreifen.
Ich habe mich deshalb entschieden den etwas umständlicheren Weg über eine Standalone Lösung zu gehen, ist natürlich nicht so smooth wie das Orginal aber die Daten meiner Kontakte sind halbwegs sicher.
Gruß Rilak
3G einfach in die Mülltonne werfen, kauft euch doch ein neues von unserem Super-Hero ! Diese Einstellung lassen einige von euch durchblicken.
Einen wesentlichen Aspekt vergessen viele Apple FAN-Boys und zwar den Umweltschutz !
Hoffentlich wird Apple ein EU-Verkaufsverbot auferlegt, wenn sich die monarchistische Firmenpolitik nicht ändert, Beispiel: auswechselbarer Akku.
Die FCC hat Apple längst unter Beobachtung, sonst wäre der AppStore nicht dereguliert worden und die Zulassung von Programmen weiterhin von der Willkür von Apple abhängig (bsp: konvertierte .net/cs5 apps)….
werden hier applekritische beiträge zensiert oder ist meine ifunapp defekt?