Fr 22° 
Sa 21° 
Ihre Story, Ihre Informationen, Ihr Hinweis?
feedback@20minuten.ch 
Malware auf dem iPhone
08. November 2011 12:42; Akt: 08.11.2011 14:47 Print
Ex-Agent hat den App Store geknackt
von Daniel Schurter - Apples Online-Laden für Apps ist längst nicht so sicher, wie das Unternehmen und die Nutzer gerne hätten. Ein Tüftler hat eine massive «Lücke» aufgedeckt - und wird dafür abgestraft.
Charlie Miller hat den App-Store entzaubert: Es ist ihm gelungen, alle Sicherheitsvorkehrungen von Apple auszutricksen. Dazu schmuggelte er eine potenziell gefährliche Anwendung (App) - vorbei an den kritischen Augen der Software-Prüfer - in den offiziellen App Store. Dies hat forbes.com publik gemacht.
Nichts verpassenDas Ressort Digital ist auch auf Twitter vertreten. Folgen Sie uns und entdecken Sie neben unseren Tweets die interessantesten Tech-News anderer Websites.
www.twitter.com/20min_digital
Bis heute galt der App Store sozusagen als Malware-freie Zone - im Gegensatz etwa zu Konkurrent Android, der in der Vergangenheit für negative Schlagzeilen sorgte.
Mit Argusaugen wacht Apple darüber, dass keine Schadsoftware in den offiziellen App-Vertriebskanal gelangt. Angeblich mit Erfolg.
Entwickler, die ein Programm für das iPhone oder iPad veröffentlichen wollen, können ein Lied davon singen. Denn bevor ihr Werk im App Store erhältlich ist, muss es einen intensiven, meist mehrwöchigen Prüfungsprozess durchlaufen und alle (von Apple diktierten) Richtlinien erfüllen. Die Nutzer ihrerseits sollen sich darauf verlassen, dass sie alles bedenkenlos herunterladen können, was sich im App Store befindet.
Die «Schläfer»-App
Das war, wie gesagt, bis Charlie Miller Apples-Kontrollsystem austrickste. In einem bei YouTube veröffentlichten Video erbringt der gewiefte Hacker den Beweis. Er hat eine auf den ersten Blick harmlose App zum Abrufen der Börsenkurse programmiert und sie durch den offiziellen Review-Prozess geschleust. Allerdings handelt es sich dabei um eine Trojaner- oder Schläfer-App.
Sobald sie auf das iPhone heruntergeladen ist, kann Miller aus der Ferne - sprich über einen Server - ungeprüften Code nachladen und ausführen. Damit wäre dem Missbrauch Tür und Tor geöffnet. Ohne dass der betroffene iPhone-Nutzer etwas bemerkt, liesse sich das Gerät ausspionieren und für alle möglichen Dinge missbrauchen.
Wegen dem von ihm entdeckten Bug (Softwarefehler) könne man sich bei nichts mehr sicher sein, dass aus dem App Store heruntergeladen werde, sagte Miller gegenüber forbes.com. So liesse sich beispielsweise eine Angry-Birds-Variante entwickeln, die im Hintergrund bösartigen Code ausführe.
Ohne böse Absicht
Natürlich hätte Miller die von ihm entdeckte Sicherheitslücke für viel Geld an die Mafia verkaufen können. Doch der Mann, der von englischsprachigen Medien als «Serial Hacker» bezeichnet wird, ist auf einer anderen Mission. Der US-Amerikaner war früher als Berater für die National Security Agency (NSA) tätig. Nach seiner Zeit beim US-Geheimdienst hat er es sich zur Aufgabe gemacht, gefährliche Sicherheitslücken in Apple-Software aufzudecken. Das ist ihm schon rund ein Dutzend Mal gelungen. Miller will bei seinem Tun aber nicht dem Unternehmen schaden, sondern zu mehr Sicherheit beitragen.
Noch keine Details veröffentlicht
Die detaillierten Angaben zu seinem jüngsten Hack hat er denn auch nicht im Internet veröffentlicht. Stattdessen hat er Apple informiert und gibt den Entwicklern Zeit, die Lücke mit dem nächsten System-Update zu schliessen. Dies dürfte mit der Aktualisierung auf
Die Apple-Entwickler arbeiten bereits fieberhaft an diesem ersten Update nach der Veröffentlichung von
Aus Entwickler-Community ausgeschlossen
Wer nun denkt, dass sich Apple gegenüber Charlie Miller erkenntlich zeigen würde, irrt sich gewaltig. Dass die besagte Börsenkurs-App inzwischen aus dem App Store entfernt wurde, erscheint logisch. Kaum nachvollziehbar ist allerdings ein anderer Entscheid des Unternehmens. Miller wurde als Konsequenz seiner Nachforschungen mit sofortiger Wirkung die Entwickler-Linzenz entzogen.
Das heisst, Apple hat den findigen Hacker aus der weltweiten Entwickler-Community ausgeschlossen. Damit hat er keinen Zugang mehr zu den von Apple zur Verfügung gestellten Ressourcen. Er könne also nicht frühzeitig kontrollieren, ob die Lücke mit dem nächsten Update geschlossen worden sei, sagte Miller gegenüber «The Register».
Die «Exkommunikation» wird Miller aber nicht davon abhalten, seine Erkenntnisse nächste Woche an der Fachkonferenz SysCan in Taiwan vorzustellen. Angeblich existierte die Sicherheitslücke im JavaScript-Code seit der Veröffentlichung von
Apple hat bislang zu den publik gemachten Vorgängen nicht Stellung genommen.
Update 14.30 Uhr
Charlie Miller kann seinen Rauswurf aus dem Apple-Entwicklerprogramm nicht verstehen, wie er gegenüber forbes.com erklärt. Zwar räumt er ein, dass er gegen die für Entwickler geltenden Vertragsbestimmungen verstossen habe. Demnach dürfen in einer App keine Funktionen versteckt oder gegenüber den Software-Prüfern falsch dargestellt werden.
Doch Miller argumentiert, er habe mit seiner harmlosen Demonstration auf eine gefährliche Sicherheitslücke hinweisen wollen. Dass ihm deswegen die Entwickler-Lizenz entzogen wurde, sei kontraproduktiv. Er habe in der Vergangenheit gerade dank dem Entwickler-Programm bei der Beseitigung von vielen Bugs mitgeholfen.
Miller kreidet den Entscheid dem neuen Apple-Management an und behauptet, das wäre früher nicht passiert. «Ich vermisse Steve Jobs. Er hat mich nie aus irgendetwas rausgeschmissen.»
Fragen und Antworten rund um die Kommentar-Funktion
«Warum dauert es manchmal so lange, bis mein Kommentar sichtbar wird?»
Unsere Leser kommentieren fleissig - durchschnittlich gehen Tag für Tag 4000 Meinungen zu allen möglichen Themen ein. Da die Verantwortung für alle Inhalte auf der Website bei der Redaktion liegt, werden die Beiträge vorab gesichtet. Das dauert manchmal eben einige Zeit.
«Gibt es eine Möglichkeit, dass mein Beitrag schneller veröffentlicht wird?»
Wer sich auf 20 Minuten Online einen Account zulegt und als eingeloggter User einen Beitrag schreibt oder auf einen Kommentar antwortet, der wird vorrangig behandelt. Hat ein eingeloggter User bereits viele Kommentare verfasst, die freigegeben wurden, so werden seine neuen Beiträge mit oberster Priorität behandelt.
«Warum wurde mein Kommentar gelöscht?»
Womöglich wurde der Beitrag in Dialekt verfasst. Damit alle deutschsprachigen Leser den Kommentar verstehen, ist Hochdeutsch bei uns Pflicht. Sofort gelöscht werden Beiträge, die Beleidigungen, Verleumdungen oder Diffamierungen enthalten. Auch Kommentare, die aufgrund mangelnder Orthografie quasi unlesbar sind, werden das Licht der Öffentlichkeit nie erblicken. (oku)
Haben Sie allgemeine Fragen zur Kommentarfunktion?
Schreiben Sie an feedback@20minuten.ch
Hinweis: Wir beantworten keine Fragen, die sich auf einzelne Kommentare beziehen.
-
Alle 89 Kommentare
Apple = $ $ $ $ $ - es geht nur ums Geld
Wer zahlt ist herzlich willkommen. Wer kritisiert wird ausgeschlossen.
Aber Apple macht's doch immer so
Bin keine Sekunde erstaunt. Apple reagiert ja immer genau nach diesem Muster. Tja, solange die Leute kaufen, hat Apple eben auch Recht. Da müssen nun einfach Mal die Käufer das nächste Mal ein HTC, Samsung, Blackberry etc.-Gerät holen. Ist sogar noch billiger und man muss sich nicht mit dem unsäglichen iTunes rumschlagen.
geil
iTunes ist aber geil.
Arrogant, aber trotzdem besser
Ich stimme zu, dass Apple eine arrogante Firma ist. Allerdings wird mein nächstes Smartphone unter iOS laufen, da die Hersteller von Android-basierenden Geräten, in der Regel keine Systemsoftware-Updates zur Verfügung stellen. Bei Apple kann ich eher davon ausgehen, dass das Gerät bis zur übernächsten iOS Version noch unterstützt wird und man etwas gegen Malware unternimmt.
das leben ist hart!
es kann gar nichts sicher sein, denn die hacker sind den "informaiker" immer einen schritt voraus!!! schaut doch mal wenn ein neues betriebssystem von windows rauskommt wielange es gehackt wird! es wird vorher gehackt bevor es überhaupt käuflich ist!!!