Vorsicht Diagnose-APIs

So sichern Sie potenzielle iOS-Hintertürchen ab

Die mögliche Existenz von Backdoors in iPhones und iPads dürfte für IT-Entscheider Grund genug sein, sich um die Integrität der darauf befindlichen geschäftskritischen Daten zu sorgen, nicht zuletzt unter dem Aspekt Industriespionage. Doch was tun?

Der Entwickler Jonathan Zdziarski hat in einer Präsentation aufgezeigt, wie einfach es Apple Behörden und anderen gemacht hat, über undokumentierte APIs auf eine Vielzahl von Daten auf iPhones und iPads zuzugreifen. Zwar hat Apple inzwischen heftig dementiert und darauf verwiesen, dass es sich nur um Diagnosefunktionen handelt, um IT-Abteilungen, Entwicklern und Apple Informationen zur Lösung technischer Probleme bereitzustellen.

Ojas Rege, Vice President Strategy beim EMM-Spezialisten MobileIron
Ojas Rege, Vice President Strategy beim EMM-Spezialisten MobileIron
Foto: MobileIron

Damit sind jedoch bei weitem nicht alle Zweifel aus der Welt geräumt, dass diese Diagnosefunktionen nicht die Privatsphäre und Sicherheit des Nutzers kompromittieren.

Ojas Rege, rühriger Chefstratege beim Spezialisten für Enterprise Mobility Management MobileIron, hat sich in einem Blog-Beitrag damit beschäftigt, was Unternehmen mit ihren iOS-Geräte tun können, um so die Gefahren einer potenziellen Abhöraktion zumindest abzuschwächen. Hier seine Tipps:

  • Stellen Sie sicher, dass Ihre Geräteflotte mit einem Device-Passwort gesichert ist. Auf diese Weise werden Angreifer daran gehindert, iOS-Geräte ohne das Wissen des Anwenders physikalisch mit einem Computer zu verbinden und ihn als vertrauenswürdig zu erklären.

  • Aktualisieren Sie alle iPhones und iPads auf Version iOS 7 oder höher. Ab iOS 7 werden Anwender explizit danach gefragt, ob sie einem verbundenen Computer trauen.

  • Empfehlen Sie Ihren Anwendern, die zur Synchronisation (z.B. iTunes, iPhoto) genutzten Rechner per Passwort abzusichern. Ein sehr erfahrener Hacker ist nämlich in der Lage, die Pairing-Schlüssel von einem zuvor als vertrauenswürdig eingestuften Computer zu entwenden, wenn er direkt darauf zugreifen kann und die Festplatte nicht verschlüsselt ist.

  • Legen Sie Ihren Anwendern ans Herz, einem Rechner oder Zubehörgerät nur dann zu trauen, wenn sie von dessen Sicherheit völlig überzeugt sind. Wenn etwa eine dubiose Ladestation an einem öffentlichen Ort die Aufforderung schickt, dem angeschlossenen Computer zu vertrauen, sollte man ablehnen - für den Ladevorgang ist dies nicht erforderlich. Hier ist eine anhaltende Schulung der Anwender ratsam.

  • Überlegen Sie, ob es Sinn macht, Pairing-Einschränkungen für abgeriegelte Devices oder Geräte, die nicht mit fremden Computern oder Zubehör synchronisieren müssen, festzulegen. Möglich ist dies über die Konfiguration im Device Enrollment Program (DEP) von Apple oder den Bereich "Berechtigungen" im iOS-Konfigurationsprofil. Auf beide Konfigurationen kann man auch über MobileIron (und vermutlich auch andere MDM-Lösungen) zugreifen.

Praxisratgeber Mobile Security zum Download

Falls Sie nach diesem Artikel noch mehr über die Sicherheit von Apps wissen wollen, dann empfehlen wir Ihnen unseren Praxisratgeber Mobile Security. Sie können den Titel für 2,99 Euro im iBookstore für das iPhone, iPad oder Mac OS X 10.9 herunterladen:

Praxisratgeber Mobile Security: Wie sicher sind Ihre Apps?

Wenn Sie lieber ein eBook im PDF-Format wollen, dann werden Sie im TecChannel Shop fündig. (cvi)