Facebook Home: All your privacy is gone. Again.

Gigaom:

Facebook’s history as a repeat offender on privacy, and playing loose and easy with our data means that need to be If you install this, then it is very likely that Facebook is going to be able to track your every move, and every little action.

As Zuckerberg said — unlike the iPhone and iOS, Android allows Facebook to do whatever it wants on the platform, and that means accessing the hardware as well.

Ohne weitere Worte… damit hat nicht nur Google Zugriff auf die persönlichen Daten – Benutzer von Facebook Home unter Android teilen sehr persönliche Daten sehr großzügig auch mit Facebook.

Update: Wunderbare Zusammenfassung aus dem zugehörigen Hacker-News-Thread:

All your privacy is gone. Again.

US Sicherheitsbehörden ist iMessage zu sicher

CNET:

Encryption used in Apple’s iMessage chat service has stymied attempts by federal drug enforcement agents to eavesdrop on suspects’ conversations, an internal government document reveals.

iMessage ist also für die Behörden zu sicher. Nicht nur die amerikanischen Behörden würden sich wohl wünschen, dass Benutzer statt iMessage eher WhatsApp verwenden. Wohl auch ein Mitgrund, dass viele Messenger-Dienste ihre Nachrichten nicht verschlüsseln.

Zwei ungepatchte Lockscreen-Schwächen in iOS 6.1.2

Zusätzlich zum bereits letzte Woche gefundenem Problem, wodurch auf die Telefonapplikation ohne Eingabe eines Passcodes zugegriffen werden konnte, wurde jetzt ein weiterer Bug in aktuellen iOS-Versionen (6.1, 6.1.1 und 6.1.2) gefunden. Dieser wiegt mindestens ebenso schwer. Der Bug ermöglicht eine Synchronisierung des Geräts per USB und so einen Zugriff auf eigentlich verschlüsselte Daten. Eine Reaktion seitens Apple wird noch in dieser Woche erwartet.

Fragmentierung als Sicherheitsproblem

Die Washington Post greift ein Thema auf, welches eigentlich offensichtlich erscheint. Trotzdem schadet ein Hinweis auf die Fragmentierung und die dadurch oft ausbleibende Aktualisierung von Smartphone-Betriebssystemen nicht. Dadurch dass viele Android-Geräte niemals eine Aktualisierung und somit auch keine Betriebssystem-Patches sehen werden und selbst unter iOS alte Geräte nicht mehr mit Aktualisierungen versorgt werden, lassen sich Sicherheitslücken relativ ausnutzen. Google versucht zwar gegenzusteuern, bisher ist dies jedoch noch nicht von Erfolg gekrönt und so läuft der größte Anteil von Android-Smartphones unter alten Betriebssystemversionen. Der Löwen-Anteil der Android-Geräte läuft derzeit in den Versionen 2.3.3-2.3.7, wobei es sich bei der Version 2.3.7 um eine Version aus dem Oktober 2011 handelt.

Erneuter Fall von falschen SSL-Zertifikaten

Zwar kein reines mobiles Thema, aber ein sehr relevantes Security-Thema, wenn es um Übertragungs-Sicherheit geht:

Google hat um Weihnachten herum ein falsches SSL-Zertifikat entdeckt, das von TURKTRUST auf *.google.com ausgestellt wurde und nicht an Google ausgehändigt wurde. Das Zertifikat wurde von einer Intermediary CA verwendet.

Gerade unter dem Umstand, das in mobilen Applikationen von Anwenderseite nicht überprüft werden kann, ob SSL-Zertifikate korrekt sind, ist es von Seiten des Applikationsentwicklers wichtig, diese Prüfung zu übernehmen. Allerdings bleibt damit das Problem, dass der Nutzer im Unklaren bleibt, ob die Kommunikation zwischen seiner App und dem Server der Gegenseite verschlüsselt wird (außer über den Einsatz von 3rd-Party-Tools, die keinem nicht-IT-affinen Benutzer zugemutet werden können).

Update: Ars Technica berichtet, dass die falschen SSL-Zertifikate “aus Versehen” signiert wurden.

iOS-Warez-Dienste schlagen hohe Wellen

Verschiedene asiatische Warez-Dienste lässt derzeit aufhorchen, da über diese Dienste kostenpflichtige iOS-Applikationen kostenlos installiert werden können und dafür KEIN Jailbreak benötigt wird.

Laut der Recherchen von Heise.de wird dafür kein Apple-Enterprise-Distribution Profile verwendet, sondern es werden einfach gekaufte und signierte IPA-Dateien wiederverwendet und lassen sich so auf vielen iPhones installieren. Damit dies funktioniert, muss das iPhone einmalig mit dem Desktop-Client des Anbieters gekoppelt werden. Vermutlich wird durch den Client auf dem iPhone eine plist umgestellt.

Spannend ist, wie die Reaktion von Apple ausfallen wird. Ich könnte mir auch eine striktere Handhabung von Enterprise-Distribution-Profilen und den zugehörigen Zertifikaten vorstellen. Damit wäre eine Verteilung raubkopierter Apps theoretisch auch möglich. Allerdings könnte in diesem Fall Apple mit einem Revozieren des Zertifikats relativ schnell reagieren.

Update: Macmark hat eine detaillierte Analyse.

iOS Sicherheit – Status 01/2013

Es steht bisher kein Jailbreak für iOS 6.0.1/6.0.2 bereit und ist wohl auch nicht absehbar.
Update 05.01.2013: Es ist ein Jailbreak für iOS 6.0.1/6.0.2 verfügbar, er wird aber derzeit wohl nicht released:

Mehr Infos zum aktuellen Stand der iOS- und Mac-Security finden sich hier.

Zertifikatsvalidierung in mobilen Apps

Eine aktuelle Lücke in der Facebook Camera App zeigt auf, was seitens des Entwicklers einer mobilen Applikation beachtet werden muss, wenn es um die sichere Datenübertragung und die SSL-Zertifikatsprüfung geht.

Im “Normalfall” läuft die Verbindung zwischen der mobilen Applikation und dem Backend folgendermaßen ab:

Regular SSL Connect

Im konkreten Beispiel wird in der Applikation zwar sichergestellt, dass die Verbindung mit dem Facebook-Backend über eine SSL/TLS-Verbindung läuft, also die Daten verschlüsselt werden. Da aber nicht geprüft wird, dass ein gültiges Zertifikat verwendet wird, ist ein Man-In-The-Middle-Angriff möglich. Dazu müssen vier Voraussetzungen erfüllt sein:

  1. Der DNS-Eintrag muss gefälscht werden. Diese wäre beispielsweise bei einer Verbindung in einem nicht vertrauenswürdigen WLAN-Hotspot leicht möglich. 
  2. Ein System nimmt die Anfragen des mobilen Clients entgegen und simuliert das echte Backend und schickt gültige Antworten an den Client
  3. Der Man-In-The-Middle zeigt dem Client ein SSL-Zertifikat
  4. Die Applikation prüft das SSL-Zertifikat unzureichend und der Benutzer hat im Gegensatz zu Internet-Browsern nicht die Möglichkeit das SSL-Zertifikat der Gegenstelle selbst zu prüfen

Connect with Man in The Middle

Wie bereits erwähnt ist das Problem, dass man als Benutzer der App die Gültigkeit von SSL-Zertifikaten nicht überprüfen kann. Dies muss programmatisch vom Applikationsentwickler übernommen werden. Und genau dies wurde vom Facebook-App-Entwickler offensichtlich vergessen.

Dagegen Abhilfe kann mit dem sogenannten Certificate-Pinning geschaffen werden. Das heißt, dass entweder das SSL-Zertifikat in die App eingekompiliert wird. Die schafft natürlich Probleme, sobald das Zertifikat abläuft. Der andere Weg wäre, dass man eine detaillierte Prüfung des Zertifikats durchführt. Wie dies für Android und iOS gemacht wird, ist hier und hier beschrieben.

NYT berichtet über Android-Malware

Die New York Times berichtet über Malware, die hauptsächlich für Android verbreitet ist, und u.a. Premium-SMS verschickt, welche kostenpflichtig sind. Die Applikation verschickt nicht nur diese kostenpflichtigen SMS, sondern blockiert auch noch die Warnung des Netzbetreibers und bestätigt die Nachfrage des Netzbetreibers automatisch.

In its  report, Lookout estimates that from the beginning of 2012 to the end of 2013, 18 million Android users may encounter malware. About 72 percent of the malware that Lookout detected this year was toll fraud, and the company expects this number to grow, because even though the process is complex, the code isn’t difficult to replicate. The company advised cellphone owners to regularly check their bills for suspicious charges.

Android Malware hilft bei mTAN-Klau

Wie verschiedene Online-Medien berichten ist im Moment eine Malware in Deutschland verbreitet, welche mit Hilfe einer Malware auf Android-Smartphones mobile TAN-Nummern abgreift und zusammen mit der Desktop Malware Überweisungen auf Konten der Betrüger veranlasst.

Via heise.de