Panikmache zum Produktstart: Die Sache mit den HTTP-Umleitungen
Skycure ist ein israelischer Security-Dienstleister. Bislang weitgehend unbekannt, hat die Software-Schmiede am 17. Oktober ein neues Produkt zum Abklopfen der Sicherheit von Mobilgeräten lanciert. Den auf iPhone und iPad zugeschnittenen Netzwerk-Monitor „Skycure Mobile“.
Bis hierhin ein ganz alltäglicher Produktstart mit wenig medialer Beachtung. Dann die Meldung: Mit Hilfe einer HTTP-Umleitung, könnten sich iOS-Applikationen übernehmen lassen.
Die Skycure-Macher veröffentlichen ein schlechtes Video, beschreiben eine konstruierte iOS-Schwachstelle und versenden ihre Pressemitteilung.
Und? Alle beißen an:
[…] Angreifer könnten die Daten der betroffenen Nutzer ausspähen und ihnen gefälschte Daten unterschieben. Das können manipulierte Börsenkurse sein, falsche Nachrichten oder veränderte Kontodaten.
N-TV:
iOS-Apps können gefährlich werden […] Angreifer könnten zahlreiche iOS-Apps so manipulieren, dass sie auf präparierte Webseiten umleiten. Angeblich sollen die meisten iOS-Nutzer mindestens eine gefährdete Anwendung auf ihrem Gerät haben.
[…] tausende iPhone- und iPad-Apps lassen sich durch einen einfachen Trick dauerhaft mit falschen Daten füttern […]
Die Linkliste ließe sich beliebig lang fortsetzen.
Unterm Strich jedoch – eine Info die (ausgerechnet) im Heise Security-Forum auftaucht und uns inzwischen auch von Dritten bestätigt wurde – handelt es sich bei der Skycure-Meldung jedoch keinesfalls um eine iOS-Eigenart, sondern um eine hinlänglich bekannte Caching-Eigenschaft, deren Umbau zur Sicherheitslücke als nicht viel mehr, denn ein geschickter PR-Schachzug Skycures gewertet werden darf.
Wir empfehlen euch das Lesen der entsprechenden Wortmeldung und zitieren einen Auszug:
HTTP301 werden i.d.R. gecached – egal, ob in Browsern unter Win, OSX, iOS, Android – you name it. Grundsätzlich ist das kein Problem, solange der Anwender mitbekommt, dass er umgeleitet wird und entsprechend reagieren kann. Bei Apps (und hier ist eben nicht nur iOS betroffen) sieht der Anwender aber in der Regel nicht, von welcher URL seine JSON-Pakete kommen, was die Geschichte schwierig macht.
[…]
Wir reden also hier nicht über ein iOS-Problem, sondern darüber, dass das HTTP-Protokoll bei Web-Apps (also Applikationen, die via HTTP kommunizieren, aber die Adressen dem Anwedner nicht offen legen) an seine Grenzen stößt.
[…]
Eine Mücke zum Elefanten aufgeblasen, das ganze mit einem populären OS verknüpft, Info an die Medien, und die haben es gierig aufgegriffen: Freie Werbung en masse, alles für lau. Man beachte auch den Zeitpunkt dieser Meldung – nämlich genau zu dem Zeitpunkt, an welchem SkyCure ihr Snakeoil – ‚tschuldigung – iOS-Security-Suite veröffentlicht hat.
Daher Gratulation an SkyCure, die aus Marketing-Sicht alles richtig gemacht haben.
danke für diese Info!
Verharmlosung hilft genauso wenig wie Panikmache.
In diesem Artikel gehts nicht um Verharmlosen, sondern ums Geraderücken: Die Angriffsmöglichkeit ist vorhanden, aber nicht ausschließlich ein iOS-Problem.
Wie die Nachricht hinsichtlich des Datenverlustes bei externen Festplatten. Wenn Dritthersteller Treiber Mist bauen, dann ist selbst verständlich das Betriebssystem schuld. Insbesondere, wenn es sich um einen so beliebten Gegner, oder besser medienwirksamen Namen, wie Apple handelt.
Ganz genau. Trifft den Nagel auf den Kopf.
Drum liebe App-Entwickler nutzt zumindest eine https Verbindung und merkt euch den Fingerprint.
Lasst keine Redirects zu, oder zu euren eigenen Servern, oder kurze Auth welches nur die App ubd der Server weiss.
Kann man alles verhindern.
Der Fairnesshalber sei erwähnt, dass bei den Diskussionen im Heise-Forum auch Fachleute sind, die bestätigen, dass es nichts mit iOS-Apps alleine zu tun hat, sondern dass eben alle Apps (Android und Microsoft ebenso) betroffen sind.
Aber eine Schlagzeile gegen Apple (iOS) bringt eben mehr Leser (Klickraten) als gegen Android, wo man ja ein Antivirusprogramm zwingend benötigt, wo Angriffe an der Tagesordnung sind.
Da spricht ein Genie. Angriffe an der Tagesordnung…..
Profis!
Schade dass es hier eher um den Verletzten Stolz der Apple Beschuldigung als um das Problem geht. Viel nützlicher wär nen Artikel, der genauer beschreibt was die Sicherheitslücke ist und ob es Wege gibt sich zu schützen oder Seiten bzw. Webapps die man meiden sollte. Wer auf Stern etc. bei Technikfragen hört hat selber schuld.
@Game9bit3
Du spielst zu viel, denn sonst hättest du den Artikel verstanden. Wenn du dich mit Web etwas stärker auseinandersetzen würdest, würdest du den Beschriebenen Fehler verstehen und du dir die Lösung vorstellen können. Stattdessen verlangst du, dass es auch für Leute wie dich verständlich sei. An so ein Niveau müssen sie sich meiner Meinung nach nicht anpassen.