..:: KOKSA-Community ::..

@mhmh: Natürlich gibt es praktisch umsetzbare Angriffe, ja nach Version sogar gleich mehrere. Erst vor kurzem gab es eine entsprechende Meldung von Google Project Zero, einer davon wurde sogar in der Praxis eingesetzt. Und ja, man konnte auch an die Daten anderer Prozesse ran. Natürlich kann man diese Schwachstellen dann noch mit den Schwachstellen der Apps kombinieren (z.B. Promon), dann muss man nicht mal aus der Sandbox ausbrechen und kann auch eine der weniger schweren Schwachstellen ausnutzen. Dabei bedarf es nicht mal einer bösen App, eine böse Website oder Nachricht reicht schon aus. Und man darf davon ausgehen dass es auch in Zukunft solche Schwachstellen geben wird.

Ich finde diese Diskussion im übrigen müßig, das iPhone ist genauso angreifbar wie ein Android-Gerät. Deswegen würde ich auch auf einem iPhone niemals Bankgeschäfte tätigen und mir die dazugehörige Transaktionsnummer auf das gleiche Gerät senden lassen. Smarte Türschlösser, welche mittels App konfiguriert werden, sehe ich daher auch kritisch. Da würde ich, wenn überhaupt, lieber auf einen normalen PC zurück greifen.

Piel hat geschrieben:Natürlich gibt es praktisch umsetzbare Angriffe

Allerdings, wenn man davon hört, sind sie gepatcht.
Oder Du kaufst Dir einen vorher, als 0-day, zum einem Preis, für den Du unter anderem mehrere Sätze Spezialwerkzeuge für sämtliche am Markt befindlichen mechanischen Zylinder kaufen könntest, die dann garantiert länger einsatzfähiger sind. Apple kümmert sich um diesen "Markt" besser als die Hersteller von Schließzylindern. (Google im Prinzip auch, aber wie Du schon erwähntest, haben die meisten Leute ja kein neues Android Device von Google und bekommen nicht lange die neuesten Updates.)
Keine Frage: Wenn es jemand mit solchen finanziellen Fähigkeiten speziell auf mich abgesehen hat (vgl. The Million Dollar Dissident), dann würde ich mir bzgl. meines Smartphones Sorgen machen - und für meine Schlösser ein separates Device verwenden. Aber im Moment mache ich mir persönlich diese Sorgen bzgl. meines iPhones nicht.

mhmh hat geschrieben:

Piel hat geschrieben:Natürlich gibt es praktisch umsetzbare Angriffe

Allerdings, wenn man davon hört, sind sie gepatcht. Oder Du kaufst Dir einen vorher, als 0-day, zum einem Preis, für den Du unter anderem mehrere Sätze Spezialwerkzeuge für sämtliche am Markt befindlichen mechanischen Zylinder kaufen könntest, die dann garantiert länger einsatzfähiger sind.

Nein, und nochmals nein. Heise hat es gut auf den Punkt gebracht:

Heise.de hat geschrieben:Bisher dachte man, "Normalsterbliche" müssen sich vor iOS-Zero-Days und der theoretischen Möglichkeit, dass man sich allein beim Besuch einer scheinbar harmlosen Webseite Schadsoftware einfängt, nicht wirklich Sorgen machen. Die Exploits dazu sind viel zu teuer, um sie an Hinz und Kunz zu verteilen und dabei zu riskieren, dass sie dabei entdeckt und damit unbrauchbar werden. Immerhin kosten solche Exploits, wie sie zur Masseninfektion von iPhones genutzt wurden, mehrere Millionen US-Dollar auf dem Schwarzmarkt und sind eine sehr gesuchte, rare Mangelware.

Genau das hat Googles Fund widerlegt. Das ist nicht irgendein Malware-Fund, sondern ein sehr spezielles Ereignis, das das Verständnis von Bedrohungen im Internet verändert (also zumindest, wenn man nicht zu den Aluhut-Trägern gehört, die sowieso immer alle Arten von Angriffen für möglich und sogar wahrscheinlich halten).

Ich klinke mich jetzt aus, ich habe auf diese Diskussion keine Lust mehr.

Heise hat geschrieben:Das ist nicht irgendein Malware-Fund, sondern ein sehr spezielles Ereignis, das das Verständnis von Bedrohungen im Internet verändert (also zumindest, wenn man nicht zu den Aluhut-Trägern gehört, die sowieso immer alle Arten von Angriffen für möglich und sogar wahrscheinlich halten).

Ja dann hab ich nen Aluhut auf. Digitalkram ist anders als analog, man kann zeitgleich überall zugreifen, für ne mechanische Zylindermanipulierung muss jemand vor Ort sein. Was digital gefunden wird, wird sofort und breit ausgenutzt. Es wird sehr oft viel zu spät bemerkt. Das Verständnis von Bedrohungen verändern kann das nur, wenn bisher gedacht wurde "aaaach, da wird schon nichts passieren, das ist sicher genug. Was wollen die denn von mir?" Das hör ich oft genug. Da hat man zwar keinen Aluhut auf, dafür ist man zu naiv. Und genau das nutzen sie aus.

Ok, auf diese Diskussion habe ich dann auch keine Lust mehr.
Über konkrete elektronische Schließsysteme - gerne.

Gibt es den sowas? ein Elektronisches Ding das den "Angreifer" nötigt so viel Zeit direkt an der Tür zu Verbringen, wie das Schloss in meinem Avartar-bildchen?

Klar gibt's das.

Was denn zum Beispiel? Ich dachte die währen immer irgendwie durch schlaue Leute über software Updates und so angreifbar.
Bei so nem Deutschemschloss muss man mit nem Schlüsselrohling probieren, feilen probieren.....

Es gibt so elektrische Riegel, die montiert man innen an die Tür, keine Öffnung nach außen. Und dann kannst Du Dir aussuchen, wie Du die entriegeln willst - über Zahlentastaturen, Klopfzeichen, Lichtzeichen, Magnete irgendwo hinhalten - Kombinationen von allem ... Du kannst sogar einen Scanner montieren, vor den man einen schönen großen alten Schlüssel halten muss...
Solange es so Einzelstück-mäßig wie Dein deutsches Schloss ist, kann man es dem Angreifer beliebig unmöglich machen.

ich glaube dass die Unsicherheit vieler elektronischer Systeme darin liegt dass sie auf Bequemlichkeit ausgerichtet sind.

Würde man die Türe mit einem Motorriegel verschließen, den man nur öffnen kann wenn man an einer Tastatur einen 4 Stelligen Kot eingeben muss UND einen RFID-Chip vor einem Leser halten muss, dann ist das schon mehr als ausreichend sicher.
Und wenn dahinter noch 'ne zweite Tür ist, wo ein C83 mit Kernzieschutzbeschlag montiert ist, dann hat man schon 'ne gute Festung.
(Abgesehen dass die ganzen Türen nicht aus Pappe sein sollten)