iOS Security: Apple-PDF beschreibt TouchID und weitere Sicherheits-Aspekte
Cupertino geht das Thema Sicherheit zukünftig offensiver an. Nach der SSL-Schwachstelle und den kurz darauf folgenden Berichten über die Möglichkeit, schadhafte iOS-Applikationen auch als Keylogger einsetzen zu können, hat Apple jetzt sein Sicherheit-Papier „iOS Security“ (PDF-Link) aktualisiert und geht in dem 33 Seiten starken Dokument auf mehrere Aspekte der iOS System-Sicherheit ein.
Unter anderem spannend: Der Abschnitt über die Funktionsweise des im iPhone 5s verbauten Fingerabdruck-Scanners TouchID. Diese werden bereits im Werk mit einer geheimen ID ausgestattet, die weder den Fertigern noch Apple bekannt ist. Die ID wird anschließend zur Verschlüsselung der privaten Speicherbereiche genutzt, auf die der Fingerabdruck-Scanner zugreift:
Each Secure Enclave is provisioned during fabrication with its own UID (Unique ID) that is not accessible to other parts of the system and is not known to Apple. When the device starts up, an ephemeral key is created, tangled with its UID, and used to encrypt the Secure Enclave’s portion of the device’s memory space. Additionally, data that is saved to the file system by the Secure Enclave is encrypted with a key tangled with the UID and an anti-replay counter.
Das PDF, in dem auch Kapitel zur Netzwerk-Sicherheit, zu Apples Kommunikationsdiensten iMessage, Siri und FaceTime, sowie zur App Security abgelegt sind, könnte Apples langfristige Pläne begleiten, den Touch ID-Scanner auch für Drittentwickler freizugeben. Anbieter wie Paypal, iZettle und Co. dürften an der Nutzung des Fingerabdruck-Scanners zur Autorisierung eigener Bezahl-Angebote ein großes Interesse haben.
Verschlüsselung von TouchID: DAS sollte Samsung mal bei senem S5 kopieren! Denke nicht, dass Samsung mit seinem Android-Zeug auch so sehr verschlüsselt!
Ironie aus!
Warum „Ironie aus“?
Ich vermute sogar, dass jede installierte App unmittelbar auf den Sensor im S5 zugreifen kann.
Die Vermutung habe ich auch, aber abwarten.
Als Apple Anhänger, hätte nichts dagegen wenn Samsung bzw die Androiden sich einige sicherheits Rios von Apple holen würden. Und nach dem Geschrei aus dem Android Lager um den Fingerabdruckscanner von Apple… Sollte Samsung schon echt etwa schweres auffahren! Wobei ich glaub das Samsung es richtig verbocken wird ! MfG
Ich würde aber gern schon mehr über den Fingerprint bei Samsung erfahren…
Gibt es da gute quellen? Oder ist noch nix bekannt?
Bin mal gespannt wie lange es dauert dort den Fingerprint zu knacken. Also tatsächlich zu knacken, nicht zu ‚Faken‘.
Denn noch ist Touch ID noch nicht gehacked worden.
Aber überlistet, schlimm genug
Halte es immer noch für sicherer als einen Sperrcode.
nach zwei jahren ssl bug… ust es ein witz bei safari, icloud, mail, imessage usw. von sicherheit zu sprechen.
Hat niemanden geschadet. Und wer wusste die ganze Zeit von den Bug? Sinnlos Kommentar!
Sinnlos? Das dachten sich deine Eltern bei deiner Geburt auch :)
und du weisst woher, dass es niemand geschadet hat? weil die havker die sich in „angeblich“ sichere verbindungen gehackt haben keinen erfahrungsbericht auf ifun geschrieben haben???
und das es niemand geschadet hat, weisst du weil die hacker einer angeblich sicheren verbindung keinen artikel dazu geschrieben haben?
Da du sinnloserweise mir auch nicht das Gegenteil erbringen konntest schlage ich dir vor mal eine Therapie zu machen.
du bist nicht das hellste licht… oder?
nach deiner ünerzeugung sind sicherheitslücken anscheined erst welche, wenn hacker, einbrecher, diebe davon berichten, was sie erfolgreich gestohlen haben?!?!
„beweis mir doch mal, dass durch die offene eingangstür in den letzten zwei jahren jemand durchgegangen ist…“
autsch… aplle verdient inzwischen fans wie dich.
Ich meine das mit der Therapie ernst! Dein IQ muss unter 50 sein. Wer heult denn schon über ein Lücke rum die selbst den Sicherheitsexperten nie aufgefallen ist? Geh dein Hundefutter fressen!
Es sieht ein wenig nach einem Ablenkungsmanöver seitens Apple aus. Schaut her, wir sind (noch?) die sicherste Plattform.
Im Grunde geht es doch vielen hier so: Apple hat bockmist gebaut, aber noch fühlen sich die Anwender bei iOS gut aufgehoben.
Apple muss aber wieder einwandfreie Qualität liefern. Dauerhaft!
Ich gehe davon aus, dass die Beseitigung disser Backdoor (nein, das war kein Bug) eher eine Flucht nach vorne ist, bevor dieses Hintertürchen auf anderem Wege bekannt wird.
Apple hat es ja nicht selbst publik gemacht. Insofern würde ich von einem Fehler sprechen. Aber wer weiß das schon…
und dass es niemanden geschadet hat, weisst du woher?
weil hacker die sich in angeblich sichere verbindungen gehackt haben keinen erfahrungsbericht auf ifun schreiben???
alle anderen Sicherheits Experten und alle, die sich dafür halten, haben den SSL bug aber auch nicht gefunden !
und? zum einen ist mac os und ios ja nicht open source… man weiss also nicht was apple da so anstellt… zum anderen ist es recht selten, dass „sicherheitsexperten“ lücken vor den hackern finden… kriminelle energie und so…
und wir reden hier immernoch über eine EKLATANTE lücke, die nicht nur nen browser betrifft… sondern nen komplettes system und alle (leider nur apple eigene) apps betrifft, die auf sicherheit angewiesen waren.
denk mal drüber nach ;) ein angeblich sicheres system hat über monate hinweg tür und tor offen… und dass ohne jemand einen schadcode oder sonstiges einschmuggeln musste :(
So ärgerlich solche Sicherheitslücken sind:
„Unser täglich Flash Player Update gib uns heute“
Bei Java kommt auch mit dem Updaten gar nicht mehr hinterher
Microsoft lässt bekannte(!) Sicherheitslücken monatelang offen
Nur Apple schafft’s damit bis in die Lokal-Presse.
Wichtig ist das sowas (schnell) gefixt wird.
Bei uns im Haushalt gabs bis vor kurzem noch ein Handy mit Andorid 2.3.6. Obwohl einige Lücken bekannt: Wo sind die Sicherheitsupdate dafür?
Los, nennt mich Fanboy!
dir ist schon klar, dass eine java; flash lücke etwas anderes ist, als ein komplett offenes system mit allen dazugehörigen apps?
über monate.
… ich befürchte, das ist IHM nicht klar.
Dann schmeißt doch alle eure iPhones und Macs weg und kauft euch dafür einen windows pc und ein andriod hamdy. Da seit ihr alle viel sicherer ;)
Das Gedankenexperiment, welches wir bei der Ausbildung zum Assi für EDV durchgespielt haben, hat sich immer wieder bestätigt. Das beschrieb die Interfaces mit den Datenbanken der großen Firmen als Eingriff in die Privatssphäre, die von gewissen Kreisen genutzt werden, um Profile zu erstellen. Und diese Profile werden genutzt, für Verbrechensprävention, personalisierte Werbung und können missbraucht werden: um jemanden aus dem „System“ zu werfen, ihn zu berauben, ihn zu „ersetzen“ (Stimme, Fingerabdrücke, Vorlieben etc). Ich denke immer wieder gerne darüber nach. ;)