iPhone via SMS hackbar

Status
Für weitere Antworten geschlossen.
@Hausbesetzer
Soweit mir bekannt erforderten die bisher vorgelegten Exploits immer, dass der Angreifer direkt vor dem Rechner sitzt und für so einen Fall brauche ich keinen Patch rausbringen, da der Angreifer in einer solche Konstellation immer an alle Daten herankommt.

Also kann sich Apple nach der Präsentation eines solchen Exploits auch Jahre Zeit lassen.
 
@below: Warum es meiner Meinung nach sinnvoll ist, eine Frist zu setzen, habe ich doch in meinem Post geschrieben. Worauf bezieht sich also Deine erste Frage? Aber ich sage es gerne nochmal in einem Satz: Die "Bösen" kommen in jedem Fall früher oder später drauf, auch wenn man es Ihnen nicht sagt - und teilen dann sicher dem Hersteller nicht mit, dass sie nun demnächst soweit wären.

Ob 6 Wochen eine angemessene Frist sind, darüber könnte man sich sicherlich unterhalten. Ich habe dazu explizit keine Meinung, halte es aber für denkbar. Eins ist jedoch klar (um auf einen anderen Poster hier einzugehen): wer sechs Wochen Zeit hat, muss dafür nicht "alle 2 Tage irgendwelche Minipatches veröffentlichen".
 
zwischensinn schrieb:
Ich will keinesfalls sagen, das alles toll ist was Apple macht. Wir können jedoch nicht schliessen, dass Apple schlampig arbeitet, da die lange Reaktionszeit ja bisher zu keinen erfolgreichen Angriffen geführt hat.
Zum Vergrößern anklicken....
Natürlich hat schon mindestens ein erfolgreicher Angriff stattgefunden - die Entdecker der Lücke haben zumindest mehrmal diese Lücke benutzt.
Und mal anders gefragt - warum sollte jemand mit bösen Absichten der diese Lücke ebenfalls kennt (und das tun viele) - seine erfolgreichen Angriffe publizieren?

Im Jahr 2009 - sorry das muss mal gesagt werden - geht es nicht mehr ohne Notfall-Security Team dass so kritische Sachen fix durchdrückt.
 
Es würde mich mal interessieren, wie viele Entwickler hier schreiben, die einen Einblick haben, welcher Aufwand mit dem beheben einer Sicherheitslücke verbunden ist.

Besonders bei "Mini-Patches" muss man sehr aufpassen, dass man nicht den Teufel mit dem Beelzebub austreibt.

Für mich ist die Full Disclosure weiterhin eine erpresserische Taktik, die ich nicht in jedem Fall für angemessen halte

Alex
 
Hausbesetzer schrieb:
Im Jahr 2009 - sorry das muss mal gesagt werden - geht es nicht mehr ohne Notfall-Security Team dass so kritische Sachen fix durchdrückt.
Zum Vergrößern anklicken....

Wie sieht dieser Prozess aus? Haben die auch eine Notfall QA?

EDIT: Ernstgemeinte Frage. Ich war noch in keinem Unternehmen, dass ein "Notfall-Security Team" hat, das "so kritische Sachen fix durchdrückt." Bei uns waren das immer die selben Entwickler, und die selbe QA.

Alex
 
Wie kann man denn das Empfangen von SMS abstellen? Ohne SMS Empfang gibt es ja kein Problem.
 
Hausbesetzer schrieb:
Im Jahr 2009 - sorry das muss mal gesagt werden - geht es nicht mehr ohne Notfall-Security Team dass so kritische Sachen fix durchdrückt.
Zum Vergrößern anklicken....
Da Apple bekanntlich sehr bereitwillig über Firmeninterna berichtet, wissen wir auch genau, dass es eine solche Abteilung nicht gibt oder was willst du uns damit sagen? ;) :rolleyes:
 
vitamin.b schrieb:
Das ist Quatsch! Bei T-Mobile Deutschland gehen die mobilen Geräte, iPhones wie auch UMTS-Sticks über zentrale Gateways/Proxys ins Netz. Nach Deiner Vorstellung/Ansicht kommt man auf keinen Fall direkt an die Endgeräte.
Zum Vergrößern anklicken....
Teilweise! Ein APN vergibt eigene IPs, der andere wird genatted. Leider kann ich dir gerade nicht sagen, welcher von den beiden es ist. Ebenso gibt es noch weitere Provider, wie E+ & Co., die eigene IPs verteilen.

vitamin.b schrieb:
In den Niederlanden ist das lt. einer kürzlich erschienenen Meldung leider möglich, hier in Deutschland aber wie gesagt geht das nicht.
Zum Vergrößern anklicken....
Nicht nur Niederlande...
 
trinec schrieb:
Teilweise! Ein APN vergibt eigene IPs, der andere wird genatted. Leider kann ich dir gerade nicht sagen, welcher von den beiden es ist. Ebenso gibt es noch weitere Provider, wie E+ & Co., die eigene IPs verteilen.


Nicht nur Niederlande...
Zum Vergrößern anklicken....

Stimmt nicht, EPlus und Vodafone benutzen auch NAT.
 
zwischensinn schrieb:
Da Apple bekanntlich sehr bereitwillig über Firmeninterna berichtet, wissen wir auch genau, dass es eine solche Abteilung nicht gibt oder was willst du uns damit sagen? ;) :rolleyes:
Zum Vergrößern anklicken....
^^ ne is klar - :crack: - Gabs nicht letztens irgendwo ne Abschrift aus ner Kommunikation wo jemand Apple auf eine Sicherheitslücke hinweisen wollte aber der Security-Fuzzi nichtmal das Problem verstanden hat?^^
Ne also 6 Monate auf nen Java Patch warten lassen und jetzt noch mindestens 6 Wochen auf nen SMS Patch (sorry den man in nem Tag schreiben kann - dann kommt nur noch die Testphase) - NEVER EVER hat Apple sowas geschweigedenn einen Sinn für Security.

Frankieboy-HH schrieb:
Wie kann man denn das Empfangen von SMS abstellen? Ohne SMS Empfang gibt es ja kein Problem.
Zum Vergrößern anklicken....
Geht leider nicht.
 
Hausbesetzer schrieb:
Ne also 6 Monate auf nen Java Patch warten lassen
Zum Vergrößern anklicken....
Dann sage uns doch mal, wo die existenzielle Bedrohung bei der Javalücke lag?

Wenn Apple uns 6 Monate auf den Patch hat warten lassen und in der Zeit kein geglückter Angriff über diese Lücke bekannt geworden ist, scheint sie ja nicht so kritisch gewesen zu sein.
Apples Security-Team hat hier also augenscheinlich gute Arbeit geleistet, da sie das Bedrohungspotential richtig eingeschätzt haben.
 
Hausbesetzer schrieb:
^^ ne is klar - :crack: - Gabs nicht letztens irgendwo ne Abschrift aus ner Kommunikation wo jemand Apple auf eine Sicherheitslücke hinweisen wollte aber der Security-Fuzzi nichtmal das Problem verstanden hat?^^
Ne also 6 Monate auf nen Java Patch warten lassen und jetzt noch mindestens 6 Wochen auf nen SMS Patch (sorry den man in nem Tag schreiben kann - dann kommt nur noch die Testphase) - NEVER EVER hat Apple sowas geschweigedenn einen Sinn für Security.
Zum Vergrößern anklicken....

Wenn du das doch so drauf hast, warum gehst du dann nicht zu Apple in leitende Position bei der Programmierung. Wenn du wirklich so gut bist, zahlen die dir sicher ordentlich Geld ;)

€dit: 3.01 kam gerade aus, ich nehme mal an, damit wird diese Sicherheitslücke behoben sein :)
 
grossmann schrieb:
Wenn du das doch so drauf hast, warum gehst du dann nicht zu Apple in leitende Position bei der Programmierung. Wenn du wirklich so gut bist, zahlen die dir sicher ordentlich Geld ;)
Zum Vergrößern anklicken....
Mach ich locker - schick mir nen Kontakt und ich bin dabei.


Warum - herrgott warum - muss man Apple IMMER ZWINGEN Sicherheitspatches zu veröffentlichen?

Das ist so peinlich.
 
attachment.php
 

Anhänge

  • Bild 2.jpg
    Bild 2.jpg
    68 KB · Aufrufe: 68
Was will man mehr ... das ist doch eine schnelle Reaktion :)
 
Wieso mehrere Wochen. Die Lücke war niemandem (nur dem Entdecker) bekannt und der hat sie vor 2 Tagen veröffentlicht. 2 Tage später ein Update ... passt schon.
 
SirVikon schrieb:
Wieso mehrere Wochen. Die Lücke war niemandem (nur dem Entdecker) bekannt
Zum Vergrößern anklicken....
Schon klar ;) Kein anderer Mensch auf der Welt ist fähig Sicherheitslücken in Computersystemen zu finden - nur der. Mr. Security himself
 
SirVikon schrieb:
Wieso mehrere Wochen. Die Lücke war niemandem (nur dem Entdecker) bekannt und der hat sie vor 2 Tagen veröffentlicht. 2 Tage später ein Update ... passt schon.
Zum Vergrößern anklicken....

Du liegst falsch. Der Entdecker hat schon vor mehreren Wochen Apple die Lücke detailliert mitgeteilt und trotzdem kommt Apple mit einem Patch erst auf dem letzten Drücker. Der Öffentlichkeit wurde die Lücke erst jetzt gezeigt.
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben Unten