Vorsicht Diagnose-APIs
So sichern Sie potenzielle iOS-Hintertürchen ab
Der Entwickler Jonathan Zdziarski hat in einer Präsentation aufgezeigt, wie einfach es Apple Behörden und anderen gemacht hat, über undokumentierte APIs auf eine Vielzahl von Daten auf iPhones und iPads zuzugreifen. Zwar hat Apple inzwischen heftig dementiert und darauf verwiesen, dass es sich nur um Diagnosefunktionen handelt, um IT-Abteilungen, Entwicklern und Apple Informationen zur Lösung technischer Probleme bereitzustellen.
Damit sind jedoch bei weitem nicht alle Zweifel aus der Welt geräumt, dass diese Diagnosefunktionen nicht die Privatsphäre und Sicherheit des Nutzers kompromittieren.
Ojas Rege, rühriger Chefstratege beim Spezialisten für Enterprise Mobility Management MobileIron, hat sich in einem Blog-Beitrag damit beschäftigt, was Unternehmen mit ihren iOS-Geräte tun können, um so die Gefahren einer potenziellen Abhöraktion zumindest abzuschwächen. Hier seine Tipps:
Stellen Sie sicher, dass Ihre Geräteflotte mit einem Device-Passwort gesichert ist. Auf diese Weise werden Angreifer daran gehindert, iOS-Geräte ohne das Wissen des Anwenders physikalisch mit einem Computer zu verbinden und ihn als vertrauenswürdig zu erklären.
Aktualisieren Sie alle iPhones und iPads auf Version iOS 7 oder höher. Ab iOS 7 werden Anwender explizit danach gefragt, ob sie einem verbundenen Computer trauen.
Empfehlen Sie Ihren Anwendern, die zur Synchronisation (z.B. iTunes, iPhoto) genutzten Rechner per Passwort abzusichern. Ein sehr erfahrener Hacker ist nämlich in der Lage, die Pairing-Schlüssel von einem zuvor als vertrauenswürdig eingestuften Computer zu entwenden, wenn er direkt darauf zugreifen kann und die Festplatte nicht verschlüsselt ist.
Legen Sie Ihren Anwendern ans Herz, einem Rechner oder Zubehörgerät nur dann zu trauen, wenn sie von dessen Sicherheit völlig überzeugt sind. Wenn etwa eine dubiose Ladestation an einem öffentlichen Ort die Aufforderung schickt, dem angeschlossenen Computer zu vertrauen, sollte man ablehnen - für den Ladevorgang ist dies nicht erforderlich. Hier ist eine anhaltende Schulung der Anwender ratsam.
Überlegen Sie, ob es Sinn macht, Pairing-Einschränkungen für abgeriegelte Devices oder Geräte, die nicht mit fremden Computern oder Zubehör synchronisieren müssen, festzulegen. Möglich ist dies über die Konfiguration im Device Enrollment Program (DEP) von Apple oder den Bereich "Berechtigungen" im iOS-Konfigurationsprofil. Auf beide Konfigurationen kann man auch über MobileIron (und vermutlich auch andere MDM-Lösungen) zugreifen.
- iOS und Android – Integrierte Sicherheitsfunktionen
Bereits vor drei Jahren sah Symantec eine deutliche Gefahr für Android-basierte Geräte gegenüber Datenverlust und Malware-Attacken. Daran hat sich grundlegend nichts geändert. - iOS und Android – Integrierte Sicherheitsfunktionen
Die Funktion der App-Isolation sieht Symantec bei Android besser als bei iOS. - iOS und Android – Integrierte Sicherheitsfunktionen
Empfehlenswerte Lektüre des BSI – das Überblickspapier Apple iOS. - iOS und Android – Integrierte Sicherheitsfunktionen
Trotz hoher Sicherheit erlaubt das Windows Phone von Microsoft die Verwendung von SD-Karten, kann sich am Markt jedoch immer noch nicht so recht behaupten. - iOS und Android – Integrierte Sicherheitsfunktionen
Professionelle Enterprise-Lösungen, hier von Good Technology, sorgen dafür, dass Unternehmensdaten in einem strenger geschützten Speicherbereich liegen. - iOS und Android – Integrierte Sicherheitsfunktionen
Ohne professionelles Mobile Device Management, hier von GOOD Technology, ist ein sicherer Betrieb von mobilen Geräten im Unternehmen kaum möglich. - iOS und Android – Integrierte Sicherheitsfunktionen
Wozu braucht eine Taschenlampen-App den Zugriff auf Push-Mitteilungen? - iOS und Android – Integrierte Sicherheitsfunktionen
Im Zweifelsfall nicht mehr benötigte Apps einfach deinstallieren. - iOS und Android – Integrierte Sicherheitsfunktionen
Zugriff auf das Dateisystem gibt es nur bei Android.
Praxisratgeber Mobile Security zum Download
Falls Sie nach diesem Artikel noch mehr über die Sicherheit von Apps wissen wollen, dann empfehlen wir Ihnen unseren Praxisratgeber Mobile Security. Sie können den Titel für 2,99 Euro im iBookstore für das iPhone, iPad oder Mac OS X 10.9 herunterladen:
Praxisratgeber Mobile Security: Wie sicher sind Ihre Apps?
Wenn Sie lieber ein eBook im PDF-Format wollen, dann werden Sie im TecChannel Shop fündig. (cvi)