Security-Paper: Spyware-Angriffe über den AppStore
Mit Blick auf die, in den letzten Wochen zu Hauf veröffentlichten iPhone-Würmer (hier ging es in erster Linie um jailbroken Geräte), widmet sich Software-Entwickler Nicholas Seriot nun den möglichen Angriffs-Vectoren bei nicht modifizierten Geräten und verweist auf die von der Businessweek in den Raum geworfene Zahl an Spyware-Applikationen die tagtäglich an Apples AppStore-Eingangskontrolle abprallen: Gut 100 Stück pro Tag sollen es zur Zeit sein.
Schad-Software die von Apple übersehen wird – Entwickler könnten entsprechenden Code verschlüsseln oder zeitverzögert ausführen bzw. aktivieren – , kann sich laut Seriot, beinahe beliebig auf dem iPhone austoben.
So erlaubt Apple jeder zum AppStore zugelassenen Applikation den vollen „read/write access“ auf das iPhone-Adressbuch, bietet den Anwendungen Zugriff auf die eigene Telefonnummer, die in der Vergangenheit abgesetzten Youtube- und Safari-Suchen, euren eMail-Accounts, den Geo-Koordinaten etc. pp.
Um die angesprochenen Schwachstelle zu verdeutlichen, hat Seriot die hier erhältliche Spyphone-Applikation entwickelt. „This project shows the kind of data a rogue iPhone application can collect.“
Das von Seriot veröffentlichte PDF zum Thema lässt sich unter anderem hier herunterladen. Die Kritikpunkte am Zulassungsprozess sind mehr berechtigt.
ich warte ja auf das norton 360 app :) dann muss ich mir keinw gedanken mehr machen weil eh nux nehr geht!
Aber Apple lässt doch keine Appd im Background laufen! ^_^
Hat jmd. Erfahrungen mit der Firewall in Cydia? Damit müsste es doch möglich sein, sich zu schützen, oder?
Der Datenverkehr ist damit wirklich aufhaltbar. Ich habe auch fast alle Apps die nicht wirklich Internet brauchen das versenden von Daten verboten. Der Kauf lohnt sich aufjedenfall.
Danke!
wozu soll diese spyware eigentlich gut sein, beim normal Verbraucher?! wollen die telefonnr der Mütter sammeln?^^
find sowas aber wirklich dreist! entweder bin ich bereit meine Daten freiwillig rauszugeben, oder ich lass es bzw erfinde was! echt unverschämt. da sollte Apple sich mal ein wenig hinterklemmen auch versteckte Software etc zu finden -.- !
Immerhin werden zumindest die meisten Programme mit Spyware abgeblockt. Bei Android und Co wird der Spaß ja ohne Zögern in deren Stores durchgewunken (wobei Google selbst ja auch Datensammeln als „Hobby“ betreibt).
Aber es ist auch nicht gerade leicht ein System so weit zu schützen, dass niemand Schabernack mit den Kunden treiben kann und gleichzeitig das System so offen zu lassen, das nicht alle 5 Minuten gequängelt wird man möge doch noch diese API oder jenes Dateisystem für die Appentwickler öffnen.
Besonders besorgniserregend finde ich den Punkt eMail-Accounts. Was kann ein neugieriger Entwickler auslesen? Account Daten? Mails? Leider bin ich kein iPhone Entwickler. Ich finde es ungut genug, dass Provider meine Mails mitelesen können. X-beliebige Programmierer sollten das auf jeden Fall nicht können.
Das die Programmierer iPhone-Adressbuch-Daten auslesen könnten, hat mir letztens ein Bekannter gemailt. Mit welcher Berechtigung ist das überhaupt möglich? Geht es da um das Auslesen um zB in Navigon zu übernehmen (also lokal innerhalb der App), oder kann der Programmierer auch die Daten „nach Hause“ senden?
Würde mich freuen, wenn ein App-Entwickler dazu was sagen könnte.
Apples Restriktionen mögen hin und wieder arg scharf aussehen. Man stelle sich vor, was wäre wenn solch eine App-Eingangs-Kontrolle nicht da wäre. Das punktet wieder mal für das iPhone.
Noch was:
Was spricht eigentlich dagegen, dass Daten von einer App nur dann „nach Hause“ (an einen Server) gesendet werden dürfen, wenn der Anwender einen Button „Einverstanden“ gedrückt hat? Bei Apps, die das dauernd benötigen könnte man sagen dass ab dem zB 3. Mal das dauerhafte Einverständnis vorausgesetzt ist. In den Einstellungen könnten man dann ähnlich wie bei dem Push-Dienst je App diese ggf gegebene dauerhafte Einstellung rückgängig machen.
So wäre echte Datensicherheit bei guter Usability gewährleistet.
Theoretisch – ist es so wie du achribst. Mein App. Kann -wenn du es öffnest- dein Adressbuch, deine Mails, deine mailaccount-Daten ( nicht das Passwort) und und und komplett Auslesen und völlig unbemerkt „nach Hause“ senden. Ein solcher Code würde aber sofort an der Kontrolle abblitzen! Es ist schon mehr kriminelle Energie und kreativität nötig um den Code zu verstecken und durch zu bringen. Aber unmöglich ist es durchaus nicht. Ich hoffe Apple bleibt wachsam, einen Datenskandal ala schülerVZ kann das Unternehmen/iPhone nicht gebrauchen.
Na da muss Apple wohl schnell nacharbeiten!!
Die Firewall mag ja eine gute Sache sein und ich bin geneigt, das Ding zu installieren. Nur wie verhält es sich dann mit dem Akkuverbrauch? Ich gehe davon aus, dass die Applikation ja ständig läuft und dementsprechend Strom saugt :(
. . . das sollte eigentlich nur ein kleines app sein, dass nicht besonders prozessorintensiv arbeitet. apps die daten senden verbrauchen sicher mehr akku als diese firewall. der datenverkehr über 3g ist ja der akkuentleerer schlechthin ;-)