Datenschutz-Lücke bei Apple
Eine interessante Studie der Bucknell University (Pennsylvania) belegt, dass iOS-Apps in etlichen Fällen Daten ohne Nutzen für die Funktionalität der App und ohne Wissen des Nutzers versenden – und dies manchmal sogar unverschlüsselt. Die Apps haben dabei Zugriff auf Nutzerdaten, die Rückschlüsse auf die Identität eines Users zulassen.
Eric Smith, stellvertretender Direktor für Informationssicherheit und Netzwerke an der Bucknell University und Verfasser der Studie, untersucht die Bedeutung des Unique Device Identifier (UDID), also der eindeutigen Seriennummer, die jedes iPhone besitzt. Über diese können auch die User bzw. ihr Nutzungsverhalten identifiziert werden, was bei Apps sinnvoll und gewollt sein kann, wenn es beispielsweise um Highscores oder ähnliches geht. Gleichzeitig kann der UDID aber auch eingesetzt werden, um weitere Daten über Nutzer zu sammeln und zusammenzuführen.
Smith untersuchte die Top 25 der kostenlosen Apps sowie weitere Apps mit den Merkmalen neu und kostenlos. In 68 Prozent der Fälle wurde der UDID durch die App versendet – meist SSL-verschüsselt, aber eben nicht immer. Und dabei bleibt es nicht: In vielen Fällen wurden weitere Daten versendet, zum Teil ohne Wissen des Nutzers und ohne dass diese Informationen notwendig für die Funktionalität der App wären. “Browsing-Vorlieben, App-Nutzung und der gegenwärtige Aufenthaltsort lassen sich technisch recht einfach an dritte Personen weiterreichen oder verkaufen”, heißt es in der Studie. “Datenschutzfachleute, User und Administratoren sollten beunruhigt sein.”
“Apple gibt den Usern kein Werkzeug an die Hand, um “Cookies” der Apps zu löschen oder die Anzeige des UDID gegenüber Apps zu blockieren”, stellt Smith in seinem Fazit fest und urteilt: “iPhone-Nutzer haben keine Chance, dieses Informationsleck auf ihrem Telefon zu schließen.” Viele der untersuchten Gratis-Apps standen in direkter Verbindung mit Werbe-Netzwerken. Die dabei auftretenden Muster lassen laut Smith darauf schließen, dass einige wenige Unternehmen den in-App-Werbemarkt kontrollieren.
McAfee übernimmt tenCube
Die AntiVirus-Company McAfee will tenCube übernehmen, den Spezialisten für mobile Sicherheitslösungen und -services für Ortung, Back-up und Fernlöschung von mobilen Endgeräten. Ziel ist der Aufbau einer einheitlichen Security-Plattform, die alle Mobiles von privaten Nutzern wie Unternehmen abdecken kann. Es sollen u.a. folgende Betriebssysteme unterstützt werden: Android, Blackberry OS, iPhone OS, Java, Symbian und Windows Mobile.
Zur gebotenen Funktionalität sollen neben den tenCube-Leistungen dann auch Schutz vor Malware, Verschlüsselung sowie inhaltliche Filterung gehören. Auch ein Service, mit dem besorgte Eltern ihre Sprösslinge – bzw. deren Handy – orten können, ist geplant. Die Übernahme soll noch im August abgeschlossen werden.
UPDATE 23.08.:
McAfee seinerseits scheint vor einer Übernahme durch Intel zu stehen. Der Prozessor-Marktführer will für den Antivirenspezialisten erstaunliche 7,7 Milliarden US-Dollar ausgeben.
Löchriges iPhone: Lücke i.d. Datenverschlüsselung
Ein verlorenes iPhone kann noch größere Sicherheitsprobleme aufliefern, als bislang bekannt. Denn trotz Verschlüsselung kann der Finder relativ einfach auf Daten wie Fotos oder Audioaufnahmen zugreifen, wie heise.de hier berichtete:
“Laut Apple sind alle Daten auf dem iPhone 3GS via Hardware mit 256-Bit-AES verschlüsselt; der Anwender kann dies auch nicht abschalten. Normalerweise ist der Zugang zu den Daten auf dem iPhone auf Rechner beschränkt, mit denen das iPhone bereits einmal verbunden war. Dabei hat es dann die für den Zugriff notwendigen Schlüssel beziehungsweise Zertifikate übertragen. Diesen Austausch verweigert es jedoch in gesperrtem Zustand; schließt man ein gesperrtes iPhone an einen unbekannten Rechner an, sollte dieser keinen Zugriff auf die Daten erhalten.
Bernd Marienfeldt, Sicherheitsmitarbeiter des britischen Internet-Knotens LINX stellte jedoch fest, dass er mit seinem Ubuntu-10.04-System auf sein iPhone 3GS ungehindert zugreifen konnte. Wenn er das Gerät in ausgeschaltetem Zustand anschloss und dann startete, band Ubuntus Automounter das Dateisystem sofort ein und gewährte den Zugriff auf mehrere Ordner – obwohl das iPhone vorher noch nie damit verbunden war. heise Security konnte dieses Szenario nachstellen. Marienfeldt hat Apple über das Problem informiert, die es derzeit noch untersuchen und bislang von einem sog. “Race Condition”-Fehler ausgehen – der Fehler lässt sich nämlich nur ausnutzen, wenn man das iPhone erst nach dem Anschluss an den USB-Bus einschaltet.
Inzwischen ist es heise Security sogar
gelungen, ein iPhone mit iTunes unter Windows zu verbinden und damit ein komplettes Backup zu erstellen. Dieses enthielt unter anderem auch Passwörter.
Ob Apple ein Update fahren wird, um diese ernste Schwachstelle zu beseitigen, ist derzeit noch unklar.
Finanzstatus als mobile Services
Die ecofinance Finanzsoftware & Consulting GmbH positioniert sich als eines der führenden Softwarehäuser im internationalen Treasury Management. Gemeinsam mit easyMOBIZ (vgl. z. B. easyFindwurde jetzt der erste mobile Client “emc” (ecofinance mobile client) fertig gestellt. Mit diesem können ecofinance-Kunden “relevante Funktionalitäten des Integrierten Treasury Systems ITS der ecofinance auch mobil über ihr iPhone nutzen”.
Konkret geht es dabei um den sog. “ITS Monitor” sowie die “ITS Report Inbox”. Das Ampelsystem des erstgenannten Service soll Anwender jederzeit und überall über den aktuellen Status der weltweiten Finanzprozesse informieren. Über selbstdefinierte Monitorabfragen wird der aktuelle Status des Treasury-Systems und einzelner Finanzprozesse permanent kontrolliert. Neben Grenzwerten und Fälligkeiten können auch Workflows überwacht werden.
Die “ITS Report Inbox” hingegen zeigt sämtliche Berichte des im System integrierten elektronischen Postfachs an. Auf Fingerdruck lassen sich diese PDF-Dateien auch auf dem iPhone öffnen und so auch als gelesen markieren oder als ungelesen behalten, löschen oder weiterleiten. Ein “mehrstufiger Login- und Authentifizierungsprozess” soll die verschlüsselte Verbindung iPhone-Treasury System absichern.
Obwohl die offizielle Pressemitteilung ausdrücklich von einer iPhone App spricht, scheint es sich wie in vielen dieser Fälle doch eher um eine iPhone-optimierte Web-Applikation zu handeln – jedenfalls findet sich im App Store bislang weder ecofinance noch emc oder die ITS-Services. Entsprechende Unterstützung weiterer Smartphone-Plattformen wie BlackBerry und Android soll geplant sein.
UPDATE: Die PR-Agentur von ecofinance beharrt darauf, es handele sich um eine native App, deren Funktionieren allerdings a) das Vorhandensein einer in der Pressemitteilung nicht genannten Desktop-Komponenten zu gleichfalls nicht genanntem Preis voraussetzt und die b) nicht im App Store zu finden sei, da Sie “auf Datenträger ausgeliefert und aufs iPhone übertragen” werde.
Inhalte auf iPhone u. iPad via App sichern
Die App-Spezialisten von SplashData sind überzeugt, dass das so wertvolle wie leicht wegnehmbare iPad ein besonders beliebtes Diebesgut sein wird – bzw. in den USA bereits ist… Daher wurde die als “Safe auf dem iPhone” beworbene App SplashID für die verschlüsselte, zugangsgeschützte Speicherung von Benutzernamen, Passwörtern, Kreditkarteninformationen, Kontonummern, Registrierungs-Codes etc. nun auch in einer iPad-Version vorgestellt. Die knapp 8 Euro kostende und besonders für iPhones im Unternehmenseinsatz empfehlenswerte Lösung liegt bereits in Version 5 vor, diese bietet Blowfish-Encryption mit 256 Bit Verschlüsselungstiefe, einen automatischen Passwortgenerator zur Erstellung von sicheren Passwörtern sowie Anti-Phishing URL-Symbole. Für Backup und kabelloses Synchronisieren mit Mac oder PC wird eine Desktop-Software benötigt, die hier herunter geladen werden kann. Sie kostet 19,95 US-Dollar und kann 30 Tage kostenlos getestet werden.
Die aktuelle Version 5.3 enthält zusätzlich das Feature “Finger Pattern Login”, bei dem der Nutzer sich durch Fingergesten authentifiziert (vgl. Abbildung). Dies soll schnellen Zugriff für die Nutzer erleichtern, Unbefugten aber erschweren. Da es Millionen möglicher Bewegungskombinationen gibt, hält SplashData das System für besonders sicher. Laut Anbieter wird SplashID bereits von über 500.000 Anwendern für die Sicherung von Smartphones und PDAs genutzt.
Aufgaben-Verwaltung m. bequemer Eingabe am Rechner
Die iPhone App Today Todo Pro verwaltet alle anstehenden Aufgaben übersichtlich und in attraktiver Kulisse. Die besonders einfache Bedienung bei maximalem Überblick sorgt laut Anbieter dafür, dass Today Todo Pro sofort damit beginnen kann, die Vorhaben seines Besitzers zu organisieren. Wenn da nur das lästige Tippen auf der virtuellen iPhone-Tastortur nicht wäre… Daher wurde der aktuellen Version 1.5.2 ein eigener Web-Server mitgegeben. Der erlaubt es, neue ToDos bequem am heimischen PC oder Mac in den Web-Browser einzugeben. Auf Wunsch geht das aber natürlich auch weiterhin in der App: Um einen neuen Text für ein Vorhaben zu erfassen, reicht es aus, das iPhone oder den iTouch zu drehen und es quer zu halten. Sofort wird der Editor geöffnet. Es lassen sich mehrere Vorhaben direkt nacheinander erfassen. Eine Übersicht der Fingergesten zur Bedienung lässt sich aufrufen, indem das iPhone kurz geschüttelt wird. Es gibt drei Ansichten, zwischen denen der Anwender mit einem Fingerwischen hin und her wechseln kann. Die Today-Ansicht zeigt die aktuellen Termine des Tages. Die Yesterday-Seite sammelt die überfälligen und die bereits erledigten Vorhaben. Und die Tomorrow-Ansicht führt alle Todos auf, die erst in der Zukunft fällig werden.
Neue Vorhaben lassen sich in selbst angelegte Gruppen aufnehmen. Die Ansicht kann jederzeit so gefiltert werden, dass nur noch ToDos einer Gruppe angezeigt werden. Jedes Vorhaben lässt sich mit einer von drei Prioritäten verknüpfen. Vorhaben mit höherer Priorität werden farbig hinterlegt und können auch ganz oben in die Übersicht eingefügt werden. Die App legt jeden Tag eine neue und noch leere Today-Liste an. Die Aufgaben vom Vortag wandern automatisch in die Yesterday-Ansicht.
Bereits absolvierte Aufgaben lassen sich abhaken, sie wandern dann an das Ende der Liste. Mit einem Fingerwisch lassen sich Aufgaben auch ganz einfach löschen. Übersicht im App-Icon: Auf Wunsch zeigt eine Ziffer (“Badge”) direkt im App-Icon an, wie viele offene Vorhaben die App zurzeit verwaltet.
Weitere Neuerung: Der Web-Server erlaubt es, ein Backup der eigenen Vorhaben auf die Festplatte zur Sicherung herunterzuladen. Dieser mit dem 256-Bit-Algorithmus verschlüsselte Backup kann dann jederzeit mit der Restore-Funktion wieder ins System zurückgespielt werden. So sind die eigenen Daten sicher und können nicht verloren gehen. Als nächster Entwicklungsschritt sind Import und Export von Aufgaben per Mail und Push Notifications geplant. Diese gerade für Mobile Professionals empfehlenswerte Produktivitäts-App kostet 2,39 Euro und stammt von Spielhaus, bekannt u.a. durch das nette Game “Need For Cheese”.
Teamviewer: PC-Fernsteuerung mit voller Mobilität
Die laut Anbieter weltweit bereits über 60 Mio. mal installierte Fernwartungssoftware TeamViewer ist ab sofort auch als App für das iPhone und den iPod touch von Apple erhältlich. Mit dem Programm können Anwender laut Anbieter von ihrem Mobilgerät aus komfortabel Computer über das Internet fernsteuern oder auf den eigenen Rechner zu Hause zugreifen. Die Version für private User ist kostenlos und mit vollem Funktionsumfang uneingeschränkt nutzbar. Für professionelle Anwender, etwa aus den Bereichen Support und IT-Administration, ist die zeitlich uneingeschränkt nutzbare Lizenz TeamViewer Pro für einmalig knapp 80 Euro erhältlich.
Egal, ob unterwegs Informationen vom heimischen PC gebraucht werden oder ein Servicemitarbeiter beziehungsweise Administrator spontan den Rechner eines Kunden oder Mitarbeiters fernwarten möchte: Mit TeamViewer für das iPhone soll innerhalb kürzester Zeit eine Verbindung zum jeweiligen Computer möglich werden. Fernsteuern lassen sich sowohl Windows- als auch Mac-Rechner, ohne dass sich der Nutzer um Port-Freigaben oder Firewalls kümmern muss..
Nach dem Start der App und dem Aufbau der Verbindung sieht der User den Desktop des Computers auf seinem Touchscreen und soll dort alle Funktionen des entfernten Rechners nutzen können. Besonders praktisch für Supporter, die von unterwegs aus arbeiten: Auch ein Remote Reboot zum Neustart des entfernten Computers oder Servers soll möglich sein. Des Weiteren sollen sich Eingaben seitens des Verbindungspartners deaktivieren lassen, wobei auf dem entfernten Rechner der TeamViewer nicht installiert werden muss – was ja nun schon langsam auch gefährlich klingt.
Die Datenübertragung ist per 256 Bit AES-Verschlüsselung geschützt. Unter Performance-Aspekten können zusätzlich verschiedene Qualitäts- und Verbindungseinstellungen vorgenommen werden. So lassen sich beispielsweise Desktop-Hintergründe entfernen. Anwender, die häufig auf bestimmte Rechner zugreifen, können diese wie bei der regulären TeamViewer-Version auch auf dem iPhone bequem per Partnerliste verwalten und dort direkt den gewünschten Verbindungspartner auswählen.
iTunes-Link TeamViewer
iTunes-Link TeamViewer Pro
VNC Viewer für iPhone und iTouch
RealVNC stellt den VNC Viewer als App für iPhone und iPod touch vor. Die Anwendung gestattet das Starten von Anwendungsprogrammen auf Desktop PCs, den Zugriff auf Dokumente und das Ändern von Einstellungen auf Rechnern mit den Betriebssystemen Mac OS X, Windows, Linux oder Unix. Die App soll auch die Betrachtung Flash-basierter Websites gestatten sowie den Copy/Paste-Austausch zwischen den Apps auf ihrem mobilen Gerät und einem entfernten Computer. Die neue Applikation eignet sich laut Hersteller auch ideal für Systemadministratoren, die unabhängig von ihrem gegenwärtigen Aufenthaltsort Desktops und Server auf Fehlfunktionen überprüfen und verwalten, Protokolle abfragen oder auch ganze Anwendungsprogramme installieren, deinstallieren und testen können.
Als Alternative zur Multitouch-Bedieung mit Fingerbewegungen verfügt der VNC Viewer auch über einen Maustastenmodus. Dabei werden virtuelle Maustasten (links, Mitte und rechts) und ein imaginäres Scrollrad auf dem Desktop überlagert, was dem Benutzer präzise Steuerbewegungen ermöglichen soll. Texte lassen sich über die In-Screen-Tastatur des iPhone oder des iPod touch eingeben und über Preview-Funktionen darstellen. Daneben enthält der VNC Viewer auch spezielle Tasten für Nicht-Buchstabentasten wie z.B. die Cursortasten sowie die Umschalt-, Steuerungs-, Alt- und Entfernen-Taste.
Um vom VNC Viewer aus eine Verbindung zum entfernten Computer aufzubauen, muss diesem eine VNC-kompatible Technologie installiert und in Betrieb sein. Die empfohlene VNC Enterprise Edition stellt laut RealVNC robuste und leistungsstarke Verbindungen her. Verbindungen zur VNC Enterprise Edition bieten zudem den Vorteil zusätzlicher Leistungsmerkmale wie 128-Bit-AES-Verschlüsselung. Die App kostet knapp acht Euro.
iTunes-Link
Via App auf Windows-PC-Anwendungen zugreifen
“Die Markteinführung des DesktopDirect iPhone Client [...] der ersten App für den Enterprise-Fernzugriff” ließ jetzt Array Networks via Presseagentur verkünden. Auf Nachfrage erfuhr mobileTicker, dass die App entgegen dem Meldungstext allerdings bislang noch nicht erhältlich, also vermutlich noch in Review befindlich ist
[Apropos "erste App": Von NTRconnect liegt bereits seit längerem - mobileTicker berichtete im Dezember - eine Lösung für den Fernzugriff via App auf sowohl Windows- wie OS X-Rechner vor. Inzwischen ist die App NTRconnect Viewer sogar kostenlos verfügbar. Vgl. auch die App von RealVNC.].
Mittels DesktopDirect sollen Mitarbeiter remote auf ihre Desktop-Computer zugreifen können: “Sie erhalten so eine vollständige Zugangsmöglichkeit auf alle Windows-basierenden Applikationen [...] sowie “den vollen Funktionsumfang einer Windows-Plattform”. Dies stelle einen besonderen Mehrwert insbesondere für User dar, die mit Windows vertraut sind.
Dabei verhindert laut Anbieter die Verschlüsselung des DesktopDirect iPhone Client einen Datenverlust, selbst wenn das iPhone verloren geht oder gestohlen wird. Da es sich bei der Information auf dem Bildschirm nicht um die eigentliche Anwendung handelt, können Anwender so auf vertrauliche Informationen zugreifen, ohne Datenlecks zu riskieren.
Endgültig mysteriös ist diese Passage der Verlautbarung: “Mit einem einfachen Mausklick loggen sich die User auf einer vertrauten Benutzeroberfläche ein und bewältigen ihre Arbeitsaufgaben.” Vermutlich werden virtuelle Maustasten zur Verfügung gestellt?
Die Bedienung des iPhone Client funktioniert laut Anbieter folgendermaßen: “Nach dem Start der App wechseln die Benutzer zu einer URL, melden sich an, klicken auf den Desktop und können die Arbeit beginnen. Die meisten Netzwerkapplikationen, die im Unternehmensumfeld eingesetzt werden, wurden für die Arbeit auf LAN-Strecken entwickelt. Die iPhone-App erfordert geringe Bandbreite und bietet eine hohe Leistung auch unter eingeschränkten Netzwerkbedingungen. Ohne die Lösung würde die Nutzung von Enterprise-Anwendungen über Mobilfunknetze zu einer erheblichen Performanceverringerung führen.” Trotz dieser etwas konfusen Beschreibung soll es sich um keine Web-Applikation, sondern um eine native App handeln.
Fragen an Array Networks:
1. Ist es korrekt, dass das Funktionieren von DesktopDirect die Installation einer Serverkomponente erfordert? Was kostet die?
Antwort: Der Preisrahmen für die erforderliche Serverkomponente (ART Server, Desktop Direct Rel. 3) beginnt bei 2.600 Euro mit einer Lizenz für 25 Concurrent User.
2. Können tatsächlich alle Windows-Anwendungen fernbedient werden – und gibt es dafür einen Single Sign-On Manager? Welchen? Was ist die Voraussetzung für diese Funktionalität: Dass die Anwendungen auf einem bestimmten Server liegen oder dass Sie via z.B. Citrix virtualisiert wurden?
Antwort: Es kann auf alle Windows-Anwendungen zugegriffen werden – aus dem simplen Grund, dass der Anwender via iPhone App mit seinem eigenen Desktop PC interagiert.
3. Inwiefern ergeben sich Sicherheitsvorteile?
Antwort: Da Anwender nur ein “Image” vom Bildschirm Ihres Desktop PC im Büro sehen, verlassen die eigentlichen Anwendungsdaten nicht das Unternehmensnetzwerk. Wenn Sie beispielsweise eine E-Mail im Desktop Direct Client öffnen, wird diese nur in der App angezeigt, ihre Inhalte verbleiben physisch aber auf dem PC-System. Hier sehen wir deutliche Sicherheitsvorteileim Vergleich zum Einsatz beispielsweise eines VPN-Client für den Fall, dass das iPhone verloren geht.
4. Welche Verschlüsselung wird genutzt?
Antwort: Mehrere SSL-Verschlüsselungen sind verfügbar, die höchste Stufe ist AES-256 Bit.
Der Vertrieb der Array-Produkte in der DACH-Region erfolgt über die Mehrwert-Distributoren Intellicomp und sysob.
Passwort-geschützte Backups von iPhone und iPod “retten”
Die Lösung iPhone Password Breaker von Elcomsoft ist für Sicherheitsbehörden, Kriminaltechniker und Forensiker gedacht, könnte sich aber auch für IT-Abteilungen von Unternehmen mit iPhones im Flächeneinsatz als nützlich erweisen. Das Tool verspricht Zugang zu passwortgeschützten Backups von iPhone 2G, 3G und 3GS sowie iPod Touch aller drei bisherigen Generationen. Als nach eigenen Angaben erstes kommerzielles iPhone/iPodPasswort-Rettung-Tool nutzt Elcomsoft iPhone Password Breaker die Rechenleistung von Grafikchips. Die Software knackt somit Plaintext-Passwörter, die verschlüsselte Backups schützen und verschafft so Zugang zu Adressbüchern, Call-Logs, SMS-Archiven, Kalendern, Kamera-Schnappschüssen, Einstellungen der Voice-Mail- und E-Mail-Konten, Applikationen, Web Browsing History und Cache.
Die GPU-Technologie soll das Passwort-Brechen von iPhone-/iPod-Backups um das Tausendfache verkürzen. Elcomsoft iPhone Password Breaker führt eine Reihe komplexer Attacken über Wortlisten mit einstellbarer Mutationsfunktionalität durch. iPhone Password Breaker erfordert keine Installation von Apple iTunes und funktioniert völlig offline.
Eine kostenlose Beta-Version ist hier verfügbar.