Compyblog

Am Freitag tauchte recht überraschend ein iOS-Update mit der Versionsnummer 7.0.6 auf. Der Beipackzeiitel war nicht sonderlich gesprächig, sprach nur von irgendwas mit SSL. Nachdem Apple ja den Kern seinesBetriebssystems im Quellcode veröffentlicht, machten sich danach mal Leute auf die Suche und fanden einen Fehler in der Ecke, der sehr wahrscheinlich der Grund für das Update gewesen sein könnte. Kurzfassung: Da hat jemand Mist gebaut im Code, so dass bei bestimmten Konstellationen die SSL-Prüfung immer fehlgeschlagen ist (was da wohl dazu führt, dass auch falsche Zertifikate angenommen werden). Blöd, ganz besonders blöd. Und der selbe Fehler wohnt nicht nur im mobilen Betriebssystem, sondern dürfte auch in OS X anzutreffen sein. Da steht ein Fix noch aus, wird aber entsprechend dringend vermisst.

Nachdem der Code gefunden ist, haben sich Leute mal angesehen, wo und wann der denn eingesetzt wurde/wird. Dabei fiel auf, dass die Adoption auf Mobilgeräten zeitlich mit dem Punkt zusammenfällt seit dem die NSA bei Apple Daten rausgetragen haben will. Da kann man dann Stapel an Verschwörungstheorien auspacken, oder an Dummheit bei Apple und dessen Ausnutzen durch die NSA glauben, wobei ich da immer noch das Problem habe, dass PRISM das falsche Programm für Angriffe auf Mobilgeräte ist. PRISM ist das Programm, wo die NSA von den Servern der Firmen Kundendaten rausträgt, mutmaßlich durch entsprechende Schnittstellen, die eher nicht mit Fehlern in Mobilbetriebssystemen zusammenfallen müssen. Aber immerhin kann man so weiter an die wortreichen, spezifischen Dementis glauben, dass Apple ja nie aktiv mit der NSA kooperiert habe.

Wie auch immer, der Fix darf jetzt noch zeitnah (Tage, nicht Wochen!) für Mac OS X angepasst werden (dann kommt da eben ein Security-Fix oder ein außerplanmäßiges 10.9.2, Details sind mir da egal), und dann wird der hoffentlich auch in die nächsten planmäßigen Updates eingebaut (iOS 7.1 ist ja immer noch nicht da, da leidet Springboard vor allem auf dem Mitina-Pad bei mir), und die dürfen dann kommen, wenn was auch immer die bisher aufhält eintrifft. Übrigens fehlen bei anderen Firmen aus der NSA-Liste immer noch Hinweise auf Fehler, die die NSA mutmaßlich genutzt hat. Gab es da zu viele, oder schaut nur niemand mehr genau hin, was Microsoft und Co tun? Oder sind die einfach nicht Open? Und was ist mit Google, Android vielleicht?

Fiese Sache: In den letzten Wochen gab es Berichte, dass immer wieder Menschen über riesige Telefonrechnungen klagten, die sie nicht selbst verursacht haben wollten. Bei genauerer Betrachtung kam dann raus, dass die verschiedenen Personen gemeinsam hatten, dass sie über Fritzboxen mit Telefonfunktion ins Netz gingen. Irgendwann letzte Woche hatte AVM die Empfehlung veröffentlicht, dass man doch den Fernzugriff in der Fritzbox deaktivieren, oder gar nicht erst aktivieren sollte. Am Freitag hatten die AVM-Techniker ihre Analyse so weit geschafft, dass sie einen Angriffsvektor über den Fernzugriff gefunden und einen ersten Fix gebaut hatten, der seitdem auf verschieden Modelle der Fritzboxen gebracht werden kann. Wer eine betroffene Fritzbox hat, tut gut daran, das Betriebssystem darauf zu aktualisieren. Funktionell habe ich keine Veränderungen bemerkt, und auch nicht vor den Fernzugriff zu nutzen, aber eine Sicherheitslücke lädt ja immer auch übelriechende Besucher ein, wie Geheimdienstler, die meinen, man habe nichts zu verbergen zu haben.