Enthaltene Informationen weiterhin relevant
Neue Sicherheitslücke: „iBoot“-Komponente von iOS 9 frei im Internet verfügbar
Teile des Quellcodes für die iOS-Systemkomponente „iBoot“ lassen sich offenbar frei im Internet laden. Experten bezeichnen den Vorgang als enormes Leck, wenngleich die veröffentlichte Komponente selbst offenbar noch aus einer älteren iOS-Version stammt. Bislang ist unbekannt, wer für die Veröffentlichung verantwortlich ist.
iBoot ist als Kernkomponente für den Startvorgang von iOS-Geräten verantwortlich, das Programm lädt nach dem Anschalten alle zunächst wichtigen Elemente in den Systemspeicher und stellt sicher, dass diese auch valide und von Apple zertifiziert sind.
Die Tatsache, dass die nun veröffentlichte Code-Version aus iOS 9 stammt, schränkt die mit der Veröffentlichung verbundene Gefahr zwar ein, Sicherheitsforschern zufolge dürften traditionell Teile davon auch bis in die aktuelle Version des Betriebssystems hinein Verwendung finden und somit bei der Suche nach Schwachstellen für Angriffe auf das System oder auch neue Jailbreaks hilfreich sein.
This is the SRC for 9.x. Even though you can’t compile it due to missing files, you can mess with the source code and find vulnerabilities as a security researcher. It also contains the bootrom source code for certain devices…
— Apple External (@Apple_External) February 6, 2018
Wenngleich bislang keine finale Bestätigung dafür vorliegt, dass der Quellcode authentisch ist, halten Sicherheitsexperten die Veröffentlichung für ein ernst zu nehmendes Problem, zumal ein im Download enthaltenes Verzeichnis mit dem Titel „Dokumente“ hilfreiche Zusatzinformationen zur iBoot-Komponente liefere.
Apple veröffentlicht bereits seit 2016 Teile des iOS-Quellcodes, damit Programmierer Einblick erhalten und das Unternehmen bei der Fehlersuche unterstützen können. Die iBoot-Komponente wurde als sehr sensibler Bereich bislang jedoch strikt unter Verschluss gehalten.
Eine direkte Bedrohung für aktuelle Geräte ist unwahrscheinlich, zumal diese neben neueren Betriebssystemversionen dank Apples streng verschlüsselter „Secure Enclave“ über zusätzlichen Schutz verfügen. Ob und in welcher Form der Vorgang langfristige Folgen hat, lässt sich noch nicht einschätzen. Eine Stellungnahme Apples steht noch aus. Die Onlinemagazine Motherboard und Redmond Pie berichten ausführlich.
Ich finde das kann nur Gutes bedeuten. Regierungen müssen Quellcodes einsehen können, warum also sollte nicht die Allgemeinheit auch nen Blick drauf werfen und gucken ob etwas im argen liegt und ob das in iOS 11 auch so ist. Nur weil Apple iBoot versteckt hält und nur Apple und Regierungen (die keine Lücken melden) Schwachstellen suchen dürfen ist das Ding noch lange nicht sicher.
Eventuell gibts ja mal wieder ne Auflage von Bootlace (man könnte früher (glaube bis iPhone 3Gs) halbwegs unkompliziert einen Dualboot mit Android einrichten)
warum müssen regierungen quellcodes einsehen können? was geht jemand anders mein quellcode an? xD
Ist nicht Dein Quellcode.
Doch ist sein Quellcode, du Torfkopf.
Und woher nimmst du die Beweise für deine Unterstellung, daß Regierungen Einblick in den Quellcode von iOS haben?
China hat den Verkauf des iPhones nur zugelassen, wenn der Quellcode von staatlicher Seite eingesehen werden darf. Das ist das einzige Beispiel, dm dass mir dazu spontan einfällt. Aber China ist nun mittlerweile auch eine Weltmacht, deren Spionagemöglichkeiten, denen der NSA nur geringfügig nachstehen.
Nen Scheiss sollen Regierungen .
Wenn die deine privaten Daten wollen, bist du bestimmt der erste der rumjammert
Regierungen? Hahaha. Klar, die sind entweder super kompetent und checken eh nichts davon oder geben es an den Geheimdienst weiter, der sich dann schöne Bundestrojaner baut.
BTW, ich finde die Überschrift recht reißerisch und eher auf Bildzeitung Niveau.
Es ist keine Sicherheitslücke. Es könnten vielleicht Sicherheitslücken gefunden werden, aber an sich ist es keine. Vielleicht eher ein Sicherheits-Leak.
Es ist durchaus üblich dass Apple, Microsoft und Co. sich einem Quellcode Audit unterziehen müssen. Man kann nicht alles wissen und auch falsch liegen, aber ihr habt echt nen Ton drauf…
Und nein ich finde es nicht toll, ich wollte nur aufzeigen dass Security by Obscurity eine tickende Bombe ist von der man nichtmal weiß ob sie explodiert ist.
schlechte Woche
Apples schlechte Wochen haben leider mehrere zig Tage;-))
Die „iWeek“ Apples revolutionäre Antwort auf unsere angestaubte Zeitrechnung.
Bald hängen überall großflächige Werbeplakate „iWeek – Time reinvented!“…
Amazing!!!
Die Meldung zeigt doch etwas ganz anderes, man muss sie ja nicht mit genauso reißerischen Kommentaren untermauern: hingegen stellt sie in Frage, ob komplexe Betriebssysteme heutzutage überhaupt noch zukünftige Sicherheit bieten können. Bei Apple wird immer alles ausgetauscht mit kompletten Updates. Das wäre genauso, als wenn in meinem Haus ein Schrank defekt wäre und ich würde alle Möbel direkt wechseln und einen Teil der alten wieder hinein stellen. Beim Möbel tragen gibt es nun Macken, die entstehen können. Weil diese aber an der Hinterseite entstehen, fallen sie zunächst nicht auf. Auch muss vor meinem Einzug ein Verein zunächst überprüfen, ob hier eine betriebliche Sicherheit besteht. Das Problem ist nur, dass sich dieser Verein aus Mitgliedern des Kirchenvorstandes, Lageristend einer Supermarktkette und Außendienstmitarbeiter der Jugendämter bestehen. Viel mehr noch, jeder der mitmachen will kriegt fünf Euro dafür, einmal durch mein Haus zu laufen. Dabei werden noch Zettel ausgeteilt, Von denen aber mangels Sachkenntnis 80 % leer bleiben. Ich ziehe wieder in mein Haus ein, setze mich auf mein Sofa und es kracht unter mir zusammen. So in etwa würde ich das Betaprogramm und überhaupt die Softwareentwicklung bei Apple beschreiben. Und nicht nur dort, es läuft ja bei allen großen Softwarekonzernen so. Es ist allerdings aus meiner Sicht seit zehn Jahren überfällig, dass Betriebssysteme ein Paket unterschiedlichster Module sind. Gerade iOS deckt alles ab, von Kernkompetenzen wie den E-Mail-Versand bis hin zum Abspielen von Videos. Das muss endlich mal aufhören! Das Betriebssystem mit seinem Kern Funktionen ist eine Sache, die Zusatzmodul jedoch eine andere und die müssen getrennt entwickelt werden. So wie es momentan läuft, das man den ganzen Käse immer in einen Topf wirft und umrührt, sind solche Effekte doch absolut vorhersehbar. Dabei sind viele Menschen eine große Fehlerquelle, manche werden auch bei Geldern schwach und erzählen dann mehr als sie dürfen. Nur dann ist es eben gelaufen, vor allen Dingen wenn Bestandteile in der Zukunft auch noch Verwendung finden sollten. Da sind gleichermaßen Regierungen, Lobbyisten und Geheimdienste sehr interessiert dran, jeder aus anderen Motiven.
Ich dachte mit Autobeispielen sind wir am unteren Ende der schlechte Beispiele Skala angekommen. Ich habe mich getäuscht
@Stephan: Was für ein unnötiger Beitrag. Viel Text, Null Inhalt mit Mehrwert.
Guter Vergleich und dazu unterhaltsam. Allerdings wird ja modular entwickelt ….
Mag zwar weit bei den Haaren herbeigezogen sein, aber was wäre wenn Apple den Code selber zum Download zur Verfügung gestellt hat? iOS 11 ist ja nicht gerade beliebt bei den Nutzern. Was macht man also? Man gibt denen einen Grund zum updaten. Ja, ich weiss, bin auch kein Freund von Verschwörungstheorien, aber nach Apples letzter Aktion will ich nichts ausschließen.
Ne, das war ein ehemaliger Apple Mitarbeiter, der jetzt bei Google arbeitet und die damit zeigen wollen, nutzt ja nix, das man so alte Geräte noch nutzen kann, weil es gefährlich sein kann. Macht es wie ein Android Nutzer, kauft euch alle 2 Jahre ein aktuelles Gerät , dann seit ihr auf der sicheren Seite (kostet nur die Hälfte). Gibt bestimmt bald ein Samsung Werbespot, wo das als Thema hat.
http://www.dass-das.de/
http://www.seid-seit.de/
Hier wird m. E. einiges durcheinander geworfen. Ja, die Veröffentlichung des Quelltextes weist auf eine Sicherheitslücke bei Apple hin. Es bedeutet jedoch nicht unbedingt eine Sicherheitslücke im Code bzw. System.
Ein System kann nur dann als sicher angesehen werden, wenn die zugrunde liegenden Techniken an sich sicher sind. Sicherheit durch Verheimlichung ist nur eine Scheinsicherheit. Jedes allgemein anerkannte Sicherheitsverfahren ist öffentlich einsehbar und trotzdem bzw. genau deswegen sicher. Das Verfahren (Algorithmus) und die Umsetzung (Code) konnten so durch viele Experten gesichtet und gehärtet werden.
Falls Apple an einer oder mehreren Stellen geschludert hat, kommt das nun raus. Damit können die Lücken genutzt werden. Und da bleibt zu befürchten.
Aber durch diese Kenntnis kann ein zukünftiges System von Apple eben ohne diese Lücken gebaut werden. Und das kommt allen Benutzern dieser Geräte zugute.
Also ist die Veröffentlichung des Quelltextes in Bezug auf die Sicherheit zumindest mittel- und langfristig als positiv zu betrachten.
Sicherheitslücke? Normal halte ich nicht viel von diesen „Bild“-Vergleichen. Aber bei dieser Überschrift … Wow.
Wenn die Sicherheit einer Software (unter anderem) darauf basiert, dass niemand weiß, wie sie funktioniert/arbeitet, dann ist eine Offenlegung des Quellcodes zumindest eine potentielle Sicherheitslücke – Punkt.