Elcomsoft zeigt ‘Password Breaker’; Datenschutz-Debatte um App Store-Programme
Die russische Softwarefirma Elcomsoft veröffentlicht eine erste Beta-Version des ‘iPhone Password Breaker’ (Download-Link), welcher einen Wörterbuchangriff auf verschlüsselte iPhone-Backups am Rechner ausführt. Dabei werden unzählige Begriffe nach einer Wörterbuch-Liste auf das seit Firmware 3.0 eingeführte Kryptographie-Feature in iTunes abgefeuert.
Im Anschluss der Beta-Phase, die bis zum 15.März läuft, sollen sich auch individuelle Begriffe automatisiert durchprobieren lassen. ‘Password Breaker 1.0 beta 1′ läuft unter Windows (7, Vista sowie XP) für alle iPhone- und iPod touch-Generationen und wird durch mehrere Rechner- und Grafikkarten-Prozessoren beschleunigt.
Zuletzt zeigte Jonathan Zdziarski die Aufhebung der Code-Sperre und Sicherheitskopie-Verschlüsselung am iPhone. Apple reagierte und besserte mit einem Firmware-Update nach.
~~~~
Ergänzend sei in diesem Zusammenhang noch auf einen Vortrag des Schweizer Softwareentwickler Nicolas Seriot verwiesen, der auf der Black Hat-Konferenz zur Informationssicherheit sein Paper ‘iPhone Privacy’ (PDF-Link) und ein entsprechendes ‘Proof of Concept’-Programm namens SpyPhone präsentierte.
In seiner Demonstration wurde durch ein schadhaftes Programm unter anderem der Zugriff auf das Adressbuch, einen MobileSafari-Webverlauf sowie die E-Mail Account-Parameter simuliert. Ein nachlässig durchgewunkenes App Store-Programm könnte diese Daten an einen fremden Server im Internet übermitteln. Seriots Kritik am ‘Sandbox’-Verfahren von Apple, das trotz des vermeintlich geschlossenen Systems ein Abschnorcheln von persönlichen Informationen erlaubt, äußerte er bereits Anfang Dezember.
An (Praxis-)Beispielen fehlt es dazu nicht: Das Taktikspiel Aurora Feint übertrug in einer frühen Version das komplette iPhone-Adressbuch auf den Server des Herstellers. Der Anbieter für Verkehrsinformationen ‘mogoRoad’ soll Telefonnummern von iPhone-Kunden durch ihre Anwendung gesammelt und dann mit Werbeanrufen versehen haben. Eine Spyware-Debatte entbrannte auch um das MMOG-Spiel ‘Vampires Live’ (kostenlos; App Store-Link) des Entwicklers Storm8, das Mobilfunknummern ohne Benachrichtigung übertrug. Der ‘Fehler’ wurde kurze Zeit später ausgebessert.
via readwriteweb
App Store-Links mit Browser-Vorschau
Apple versieht in der letzten Nacht die App Store-Links mit einer Vorschau-Ansicht im Browser eurer Wahl. Darin lassen sich wesentliche iTunes-Informationen einsehen, anklicken oder eine ganz andere Route durch den digitalen Store einschlagen.
Hier das Beispiel Guerrilla Bob (2.39 €; App Store-Link)*, dessen Link die Webseite mit der Vorschau aufruft. Um in den App Store zu gelangen, muss der Button ‘In iTunes ansehen’ angewählt werden. Vormals ließ sich eine automatische Weiterleitung durch den Link-Zusatz ‘?mt=8′ veranlassen. Noch scheinen nicht alle iTunes Vorschau-Webseiten verfügbar, so dass angewählte App Store-Links teilweise noch direkt an den iTunes Store durchgereicht werden.
Auch für Musik bietet Apple seit kurzer Zeit die wesentlich kundenfreundlichere Webseiten-Vorschau an, in der die Songs bereits zur Probe gehört werden können. Hier am Beispiel für die ehemalige iPhone-Werbespot-Musik You, Me and the Bourgeoisie – The Submarines (iTunes-Link)* ersichtlich.
(Danke, cirka!)
*Wer ein App Store-Programm über unseren Affiliate-Link bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises. Herzlichsten Dank dafür!
[KlimBim] Omnigroup mit iPad-Apps, Stanza USB-Transfer, die Simpsons plus Patrick Stewart, Skype’s VoIP über UMTS und Scoble interviewt Rackspace-Entwickler
Die Omnigroup plant eine iPad-Umsetzung ihrer fünf ‘Productivity’-Apps OmniGraffle, OmniOutliner, OmniPlan, OmniFocus und OmniGraphSketcher.
We’re really excited about Apple’s iPad, and we want to make all of our products available for it as soon as we can.
John Kendrick, ‘heavy’ GTD-Sympathisant schwärmt von einer OmniFocus-Selbstverwaltung auf portablen 9,7-Zoll.
via blog.omnigroup
~~~~
Der beliebte eBook-Reader Stanza (kostenlos; App Store-Link) entfernt auf einen Hinweis von Apple die Möglichkeit, digitale Bücher via USB auf das Gerät zu transferieren. So hieß es in der eigenhändigen Beschreibung ihrer Release-Note, dessen Passus “required by Apple” mittlerweile gestrichen wurde.
Ein Dateitransfer über USB fiel in der App Store-Historie schon immer unter die Verwendung einer ‘privaten API’, die nicht für einen erfolgreichen Weg durch den App Store-Genehmigungsprozess bestimmt ist. Diese Argumentation äußerte Apple auch auf Nachfrage gegenüber mocoNews.net:
We requested Stanza remove the USB functionality in their app as it was a simple case of the developer using private APIs in violation of the developer agreement.
Nichtsdestotrotz fällt eine solche Geschichte unter den Vorzeichen der iBooks-Implementierung für das iPad in einen äußerst ungünstigen Zeitraum. Bislang ist nicht bekannt, wie und ob überhaupt erworbene ePub-Bücher aus dem iBookstore (und umgekehrt) lokal übertragen werden können.
~~~~
Ich gestehe: bin kein Simpsons-Fan!
~~~~
Ich gestehe: bin kein Sir Patrick Stewart-Fan!
~~~~
Skype (kostenlos; App Store-Link) gibt sich selbst ein Interview und kündigt VoIP-Gespräche über UMTS an. Die neuen Apple SDK-Lizenzbestimmungen machen es möglich. Das Update verzögert sich jedoch noch, um angeblich die Sprachqualität für Anrufe aus dem Mobilfunknetzwerk zu optimieren.
Meiner Meinung nach ist dies ein typischer Fall von ‘schlechter Ausrede’. Skype war anscheinend nicht vorbereitet, dass Apple zeitnahe den Lizenz-Stöpsel entfernt und die immer erwünschte UMTS-Verbindung freigibt.
Der Multi-Protokoll-Client Fring (kostenlos; App Store-Link), der auch über das Skype-Netzwerk telefoniert, legte hinter der Bühne einen Schalter um und stand wenige Stunden nach der Bekanntgabe der neuen Lizenzbedingungen, für VoIP-Gespräche im UMTS-Netz bereit.
~~~~
Robert Scoble spricht mit Rackspace-Entwickler Mike Mayo über das iPad und dessen Software Development Kit. Scoble arbeitet derzeit mit dem IT-Hoster an einem gemeinsamen Projekt namens Building 43, auf dessen Webseite sich auch die Shownotes zum Gespräch befinden.
~~~~
Schneller informiert: @iPhoneBlog_Link twittert neue iPhoneBlog.de-Beiträge
Gefälschte iPhone-Zertifikate bieten potenziellen Angriffspunkt
Letzten Freitag tauchte in dem anonym geführten WordPress-Blog Cryptopath eine Anleitung zum Überlisten von iPhone-Zertifikaten auf. The Register nimmt sich (unter anderem) der Beschreibung für die ‘Sicherheitslücke’ in ihrem Artikel “iPhone vulnerable to remote attack on SSL” an.
Ein potenzieller ‘Angriff’ setzt dabei voraus, dass ein iPhone-Benutzer auf seinem Gerät eine E-Mail-Anlage öffnet oder von einer entsprechenden Webseite eine Konfigurations-Datei herunterlädt und dieses Zertifikat explizit akzeptiert. Die Konfigurationsprofile (Einstellungen -> Allgemein -> Profile) haben seit Firmware 3.0 im Zusammenhang mit der Tethering-Option Bekanntheit erlangt. Entwickler signieren mit den Bereitstellungsprofilen schon seit Firmware 2.0 Developer- und Test-Geräte.
Charlie Miller, Sicherheitsexperte bei Independent Security Evaluators, zeigt mögliche Folgen einer solchen Attacke auf. Schadhafter Programm-Code kann durch diesen Angriff nicht ausgeführt werden. Miller verifizierte, dass das Starten von beliebiger iPhone-Software mit diesen gewandelten Zugriffsrechten unterbunden werden kann. Nicht bestätigen konnte er, das der vom iPhone ausgeführte Webverkehr über einen eigenen Proxy umgeleitet und abgehört wird.
Die Bereitstellung von Zertifikaten ‘over-the-air’ wurden mit Firmware 3.0 eingeführt und soll beispielsweise in Unternehmen den administrativen (Konfigurations-)Aufwand vereinfachen. Zertifikate, die über eine USB-Verbindung auf das iPhone gelangen, wird standardmäßig vertraut. Bei einem kabellosen Transfer per E-Mail oder Web-Download gilt die Standardeinstellung ‘nicht vertrauenswürdig’. Trotzdem lassen sich relativ leicht ‘verifizierte’ Zertifikate erstellen, indem man eine von 224 offiziellen Quellen kontaktiert, die Apple auf seiner Supportseite aufführt.
It is relatively easy to obtain a signature certificate from many of them without any sort of verification. A demo signature certificate can be obtained from Verisign without need for anything other than a valid e-mail address (throwaway addresses work, too) for sixty days at no price and without providing any credit card details.
Was kann getan werden?
Nach Aussage des Blogbetreibers Cryptopath besteht kein Grund, das iPhone- und iPod touch-Benutzer Root-Zertifikate kabellos empfangen und installieren können.
Apple needs to define who should be able to download mobileconfig files onto a device, be it an end-user or a company, and devise a correct way to share keys between the device and its associated provisioning server.
Auf iPhoneBlog-Nachfrage ist diese Definition auch im neusten Firmware-Update 3.1.3 nicht durchgeführt worden, was einen potenziellen Angriff – bei zugegebenermaßen sehr fahrlässiger Benutzerinteraktion – weiter möglich macht.
Flash-Trash-Talk zum iPad
Um die ausschweifende Diskussion über Adobe Flash am vergangenen Wochenende habe ich einen breiten Bogen geschlagen. Das Thema wurde bereits ausführlichst einen Tag vor der iPad-Vorstellung an dieser Stelle besprochen. So wirklich alleine gelassen hat uns das Thema über drei iPhone-Generationen hinweg jedoch noch nie.
Nach der iPad-Vorstellung hat sich daran inhaltlich nichts grundlegend geändert, scheinbar sind die Reaktionen jedoch ebenfalls unverändert am Start. Viele davon erscheinen mir einfach zu lesenswert, um nicht auch hier noch einmal verlinkt zu werden. Ein quasi persönliches ‘Best of TrFlash’-Talk für die Erinnerung. Geeignet zum Nachschlagen in fünf Jahren.
Die “Financial Times Deutschland” – seit letzter Woche mit eigener App Store-Anwendung (kostenlos; Link) – spricht mit dem ‘Video-on-Demand’-Portal Hulu. Jason Kilar, Chef des werbefinanzierten Streaming-Dienstleisters, verspricht: “Hulu wird letztlich auf jedem mobilen Gerät verfügbar sein“. Technisch ist das kein Problem, wie der BBC iPlayer (ausschließlich in UK verfügbar) zeigt. Am Laptop-Webbrowser wird Flash verwendet, im MobileSafari kommen die Videos in H.264.
via daringfireball
Für Hulu müssten dann ‘nur’ noch internationale Rechteverhandlungen über die ‘Ausstrahlung’ deren Video-Inhalte erfochten und das App Store-Ticket gelöst werden. Nur noch?
via theflashblog
Das Flash Blog hinterfragt das “Web-Erlebnis” am iPad mit der oben eingebundenen Bildmontage und der Frage: The iPad provides the ultimate browsing experience?
John Gruber antwortet mit einer Gegenfrage: Who Can Do Something About Those Blue Boxes? Seine Antwort zielt auf Webseiten-Betreiber, da Adobe nicht fähig (“Adobe can’t. They can’t put Flash Player on iPhone OS on their own”) und Apple nicht willig (“Apple could, but they won’t”) erscheinen.
Doch auch die Webseiten-Konsumenten haben eine Stimme. Den Besuch dieses kleinen Weblogs treten 29.91-Prozent mit einem flashfreien oder flashblockierten Browser an. 8,67-Prozent sind mit einem iPhone unterwegs.
Apple-Boss Steve Jobs treiben die kleinen blauen Boxen keine Träne ins Knopfloch.
Dave Winer fragt: “What if Flash Were an Open Standard?“? John Gruber antwortet: “The problem for Flash is just like the problem for IE — the web has already moved on.”
It’s not flash. Its CSS3! (für Chrome und Safari)
Google und Apple auf offenem Konfrontationskurs?
Vor zirka einem Jahr, am 20.01.2009, erteilte das US-Patentamt ein 358 Seiten starkes Patent mit dem Titel “Touch screen device, method, and graphical user interface for determining commands by applying heuristics” dem Cupertino-Konzern Apple zu. Darin abgedeckt sind großflächig diverse Benutzereingaben per Finger- und Gesten-Steuerung auf einem Multitouch-Bildschirm. Das Dokument ist eine Erweiterung zu einem Erstantrag (7.479.949) – datiert auf Juli 2006 – und beschreibt die patentierten Technologien, mit denen sich Steve Jobs im Januar 2007 bei der iPhone-Vorstellung auf die Bühne stellte und sagte: “Boy, did we patent it!”
Seitdem ist einiges passiert, und so manches hinter verschlossenen Türen geblieben. Welche Regelungen für Lizenzgebühren, Absprachen oder Vereinbarungen zwischen den Mitbewerbern, die ebenfalls auf einen kapazitiven Multitouch-Bildschirm setzen, getroffen wurden, bleibt weitgehend unbekannt. Zwischen Apple und Palm gewitterte es kurzfristig im letzten Frühjahr, als Apple’s Tim Cook in der Telefonkonferenz zu den Quartalszahlen auf Nachfrage eines Journalisten zu Protokoll gab:
We approach this business as a software platform business. We are watching the landscape. We like competition as long as they don’t rip off our IP [Intellectual property]. And if they do, we will go after anyone who does.
Obwohl Cook nicht explizit die bevorstehende Palm Pre-Veröffentlichung erwähnte, antwortet die Palm-Pressestelle trotzig:
Palm has a long history of innovation that is reflected in our products and robust patent portfolio (31 pages of patents in Google Patent Search), and we have long been recognized for our fundamental patents in the mobile space”. “If faced with legal action, we are confident that we have the tools necessary to defend ourselves.”
Seitdem herrscht Stillschweigen. Zumindest gegenüber der Öffentlichkeit.
Mit einem großen Bohei wurde jetzt jedoch etwas ganz anderes publik: das Google Nexus One-Systemupdate mit Multitouch-Gesten. Android-Telefone verzichteten bislang innerhalb der USA auf eine Implementierung von ‘Pinch-to-Zoom’-Gesten, obwohl die Hardware dafür ausgelegt ist. Das ändert sich jetzt.
Der Zeitpunkt für diese ‘Over-the-air’-Aktualisierung könnte nicht passender gewählt sein, um in der Öffentlichkeit als ‘offene Kriegserklärung’ verstanden zu werden. Vergangenen Sonntag, einige Tage nach der iPad-Vorstellung, soll sich Steve Jobs in einem Town Hall-Meeting den Fragen der eigenen Belegschaft gestellt haben. Je nachdem welchen anonymen Quellen man Glauben schenken möchte, bezeichnete Jobs das Google-Credo ‘Don’t be evil’ als ‘Bullshit’ beziehungsweise ‘a load of crap’.
Jobs soll betont haben, das Google mit seinem Nexus One als Konkurrent ins Telefongeschäft eingestiegen ist, und damit auf direktem iPhone-Konfrontationskurs steht: “Make no mistake they want to kill the iPhone. We won’t let them”.
Der kalte Krieg scheint eröffnet: In der letzten Woche stellte Google sein Voice-Telefonprogramm als MobileSafari-Webanwendung vor, nachdem Apple eine native App Store-Anwendung innerhalb der letzten sechs Monate auf die lange Bank des Genehmigungsprozesses geschoben haben soll.
Mit dem jetzt veröffentlichten Multitouch-Update von Google für alle Nexus One-Geräte, und dem im Sommer vielleicht schon folgenden Chrome OS-Tablet, könnten uns “interessante Zeiten” ins Haus stehen.
[update IV] iPhone-Update 3.1.3 steht zum Download bereit
Das iPhone-Update 3.1.3 (7D11) steht soeben über die Software-Aktualisierung zum Download in iTunes bereit, und ‘wiegt’ auf 3GS-Geräten 291 Megabyte. Große Änderungen lassen sich der Beschreibung nicht entnehmen. Es soll die ‘Genauigkeit der Batterieanzeige’ verbessert worden sein und eine Fehlerbehebung für nicht startende Drittanwender-Programme enthalten.
Das Support-Dokument HT4013 weist auf geschlossene Sicherheitslücken in Webkit, CoreAudio und dem Recovery Mode hin.
Update
Die Update war erfolgreich, hat (bei mir) den Jailbreak entfernt (Tethering-Hack blieb erhalten) und die Modem-Firmware auf 05.12.01 aktualisiert. Damit scheinen die in ‘blackra1n’ und ‘redsn0w’ verwendeten Exploits erst einmal ausgebügelt.
-> http://blog.iphone-dev.org/post/367262620/3-1-3-and-thee
Update II
Im iPhone Dev-Center schlägt das überarbeitete iPhone SDK auf.
Update III
Vor zirka einer Stunde hatte ich noch vermutet, dass der Tethering-Hack auf meinem (offiziell entsperrten) Testgerät nach dem Update einfach erhalten blieb. Jetzt stellt sich heraus, das Firmware 3.1.3 die amtliche Tethering-Option für iPhones mit offizieller Freischaltung aus dem europäischen Ausland zurückbringt. Den Test absolvierte ein ladenfrisches iPhone 3G aus Italien im O2-Netz.
Alle Geräte, die sim- und netlockfrei in Italien und Co. erworben wurden, lassen sich demnach am Laptop als Modem-Dongle mit einem beliebigen Mobilfunkbetreiber einsetzen. Wer dies verwenden möchte, sollte sich je nach abgeschlossenem Vertrag erkundigen, ob dies im Einklang mit seinem Mobilfunkprovider geschieht.
Update IV
iPhone Classic-Besitzer dürfen zur aktuellen redsn0w-Version greifen, um auch unter Firmware 3.1.3 einen Unlock und Jailbreak zu genießen.
Thanks to daring experimenters in the comments, we can confirm that yesterday’s redsn0w works for today’s 3.1.3 update for iPhone 2G. Just point it at the 3.1.2 iPhone 2G IPSW after doing update or restore to 3.1.3. So far we’ve only confirmed this for iPhone 2G.
Für ‘ältere’ iPod touches gibt es eine modifizierte ’3.1.2 loophole’-Version.
For those with older (non-MC) iPod touch 2G, we’ve compiled a special version of redsn0w meant just for you.
Wer Probleme mit den Netzwerkeinstellungen für den Tethering-Betrieb hat, sollte eigenhändig installierte Profile löschen oder die gesamten Einstellungen zurücksetzen.
[KlimBim] iPad-Meinungen, Keynote-Zusammenfassung, ‘Click-to-Call’-Werbebanner, AT&T-Geschäftszahlen, iPad-Hintergrundbild und Comic-Flash
Weitere iPad-Impressionen trudeln per Video an den Anschluss der letztwöchigen Apple-Keynote ein. Unter anderem kommt John Doerr vom Risikokapital-Geldgeber Kleiner Perkins Caufield & Byers zu Wort, der auch den berüchtigten iFund zur Firmware 2.0 auf die Beine stellte.
via gigaom
~~~~
Wie ‘unglaublich’, ‘bezaubernd’ und ‘erstaunlich’ die Apple-Keynote war, ist in folgenden 180 Sekunden – nicht ganz ernstzunehmend – zusammengefasst. Apple scheint ab sofort ihre Videoproduktionen auch über einen offiziellen YouTube-Kanal mit der Welt zu teilen.
~~~~
Google verbindet Werbung auf mobilen Geräte mit ‘Click to Call’-Telefonnummmern. Vorerst ausschließlich in den USA, lassen sich damit Restaurant-Reservierungen oder Kinokarten-Käufe per Telefon direkt aus der Reklameeinblendung anrufen.
‘Klingelnde’ Werbeanzeigen sorgten Anfang letzter Woche bereits für Aufsehen. Im MacBidouille-Forum warnten Leser vor Admob-Kleinanzeigen in App Store-Programmen, die unter Firmware 3.1 eine eventuell gebührenpflichtige Telefonnummer hinterlegen würden.
via fscklog
~~~~
AT&T veröffentlicht in ihren Geschäftszahlen für das Quartal 4 2009 eine Summe von 3.1 Millionen aktivierten iPhones. Dies entspricht in etwa der Höhe für die in Betrieb genommenen Apple-Telefon des vorangestellten Quartals. Mehr als ein Drittel dieser Telefone geht an AT&T-Neukunden.
Apple vermittelt derzeit zirka 50-Prozent seiner iPhone-Verkäufe in Nordamerika.
via att.com
~~~~
Das derzeit wohl populärste Naturfoto, aus dem Hintergrund des Apple iPads, stammt von Richard Misrach, einem amerikanischen Fotografen. Die Aufnahme ‘Pyramid Lake at Night’ (Flickr-Link) entspringt dem Jahr 2004, ist im US-Bundesstaat Nevada aufgenommen worden und derzeit im Auszug in der ‘Fraenkel Gallery‘ zu begutachten.
Apple hatte sich mit dem in San Francisco lebenden Künstler vor einigen Wochen in Verbindung gesetzt, und nach Lichtbildern für Bildschirmschoner erkundigt. Eine Verwendung im iPad fand gegenüber dem 40-jährigen im Vorfeld keine Erwähnung. Auch die finalen Verträge, für die Verwendung des Werkes des Bildermachers, stehen derzeit wohl noch aus.
Misrach gab mit einem Augenzwinkern zu Protokoll: What’s funny is that for years I actually used the photo as my own screensaver,” so I guess they know what they’re doing.”
via news.yahoo.com
~~~~
via isandwich4g
~~~~
Viel Drama am vergangenen Wochenende um iPad-Werbefotos, die Flash-Webseiteninhalte zeigte. Apple korrigierte diesen abermaligen ‘Ausrutscher’ umgehend, der bereits beim iPhone und mit dem ‘New York Times’-Webauftritt das Internet kurzfristig verrückt machte.
Die Chefetage vom Videostreaming-Dienstleister Netflix verkündet während der Bekanntgabe ihre Geschäftszahlen, mit einer iPad-Belieferung der Filmarchive erst einmal abzuwarten. Am fehlenden Adobe Flash kann und soll es nicht liegen:
It’s not a huge priority for us because we’re so focused on the larger screens.
CNNMoney-Redakteur Jon Fortt schreibt über Marvel Comics als iPad-’Geheimwaffe’. Dabei zieht er die alten Steve Jobs-Verbindungen zu Disney hervor, mit dessen Vitamin B bereits zuvor Filme und TV Shows (ABC) für iTunes eingekauft wurden.
Disney erwarb am 31.12.2009 Marvel Entertainment, die mit Spider-Man, X-Men oder Hulk populäre Comic-Franchises ausliefern. Ira Rubenstein, Marvels-CEO will sich bekanntlich noch nicht auf das iPad festlegen und ist enttäuscht, dass das iPad kein Flash ‘spricht’.
