iphone-ticker.de — Alles zum iPhone. Seit 2007. 36 152 Artikel
   

Panikmache zum Produktstart: Die Sache mit den HTTP-Umleitungen
Artikel auf Mastodon teilen.
11 Kommentare 11

Skycure ist ein israelischer Security-Dienstleister. Bislang weitgehend unbekannt, hat die Software-Schmiede am 17. Oktober ein neues Produkt zum Abklopfen der Sicherheit von Mobilgeräten lanciert. Den auf iPhone und iPad zugeschnittenen Netzwerk-Monitor „Skycure Mobile“.

Bis hierhin ein ganz alltäglicher Produktstart mit wenig medialer Beachtung. Dann die Meldung: Mit Hilfe einer HTTP-Umleitung, könnten sich iOS-Applikationen übernehmen lassen.

Die Skycure-Macher veröffentlichen ein schlechtes Video, beschreiben eine konstruierte iOS-Schwachstelle und versenden ihre Pressemitteilung.

Und? Alle beißen an:

Der SPIEGEL:

[…] Angreifer könnten die Daten der betroffenen Nutzer ausspähen und ihnen gefälschte Daten unterschieben. Das können manipulierte Börsenkurse sein, falsche Nachrichten oder veränderte Kontodaten.

N-TV:

iOS-Apps können gefährlich werden […] Angreifer könnten zahlreiche iOS-Apps so manipulieren, dass sie auf präparierte Webseiten umleiten. Angeblich sollen die meisten iOS-Nutzer mindestens eine gefährdete Anwendung auf ihrem Gerät haben.

HEISE Security:

[…] tausende iPhone- und iPad-Apps lassen sich durch einen einfachen Trick dauerhaft mit falschen Daten füttern […]

Die Linkliste ließe sich beliebig lang fortsetzen.

Unterm Strich jedoch – eine Info die (ausgerechnet) im Heise Security-Forum auftaucht und uns inzwischen auch von Dritten bestätigt wurde – handelt es sich bei der Skycure-Meldung jedoch keinesfalls um eine iOS-Eigenart, sondern um eine hinlänglich bekannte Caching-Eigenschaft, deren Umbau zur Sicherheitslücke als nicht viel mehr, denn ein geschickter PR-Schachzug Skycures gewertet werden darf.

Wir empfehlen euch das Lesen der entsprechenden Wortmeldung und zitieren einen Auszug:

HTTP301 werden i.d.R. gecached – egal, ob in Browsern unter Win, OSX, iOS, Android – you name it. Grundsätzlich ist das kein Problem, solange der Anwender mitbekommt, dass er umgeleitet wird und entsprechend reagieren kann. Bei Apps (und hier ist eben nicht nur iOS betroffen) sieht der Anwender aber in der Regel nicht, von welcher URL seine JSON-Pakete kommen, was die Geschichte schwierig macht.
[…]
Wir reden also hier nicht über ein iOS-Problem, sondern darüber, dass das HTTP-Protokoll bei Web-Apps (also Applikationen, die via HTTP kommunizieren, aber die Adressen dem Anwedner nicht offen legen) an seine Grenzen stößt.
[…]
Eine Mücke zum Elefanten aufgeblasen, das ganze mit einem populären OS verknüpft, Info an die Medien, und die haben es gierig aufgegriffen: Freie Werbung en masse, alles für lau. Man beachte auch den Zeitpunkt dieser Meldung – nämlich genau zu dem Zeitpunkt, an welchem SkyCure ihr Snakeoil – ‚tschuldigung – iOS-Security-Suite veröffentlicht hat.
Daher Gratulation an SkyCure, die aus Marketing-Sicht alles richtig gemacht haben.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
31. Okt 2013 um 16:46 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden
    11 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    11 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 36152 Artikel in den vergangenen 5868 Tagen veröffentlicht. Und es werden täglich mehr.     ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven