SVT's Rapport sågar iOS

Kan du berätta - så enkelt som möjligt - hur det går till när man tar över en iPhone via WiFi eller vad det nu är...det där som det skrivs om och Rapport nu uppmärksammat. Jag vill försöka förstå. Eller någon annan som vet och är pedagogisk?

Ett exempel ur det refererade dokumentet:

Alltså, man utnyttjar URL-schema och en svaghet i Facebook-appens säkerhet. Den som utför attacken har redan kontroll över din nätverkstrafik och eftersom facebook-appens trafik är okrypterad så kan de se din facebook-sida!!

Vilket inte är samma sak som att "ta över din iPhone".

Jag tycker det är bra då man belyser svagheter i iOS och dess appar, men gillar inte då man kommer med svepande generaliseringar utan källhänvisningar.

Tack. Så hackaren kan alltså se min Facebook-sida? Är det allt?
Kan man också "se" när jag loggar in på Banken och spara mina inloggningsuppgifter? Nu spelar det ju i.o.f.s. ingen roll då man bara kan föra över pengar mellan egna konton och läsa kontoläget med denna typ av inloggning :-D. Vill man logga in "på riktigt" på Swedbank så måste man ha en dator och en dosa.
Men...PayPal! Kan dom "läsa av" Safari när jag loggar in på PayPal?

Nja, hackaren kan utnyttja andra appar med svag säkerhet på liknande sätt. Att det går att göra en tredjeparts-app med svag säkerhet är inte unikt för iOS.

Dessa typer av sajter med webaccess bör använda krypterad förbindelse. (Annars bör du byta bank.)
Det finns en rad sätt man kan lura folk som använder nätbanker, men då kommer vi in på generella problem som inte är iOS-specifika...

Oj vad du har fel!
Swedbank kan du föra över pengar genom att BARA KÄNNA TILL lösenord och personnummer. Det kallas EKORT och skall vara säkert ( https://ekort.swedbank.se )

Fungerar det med mini-SIMet? Jag har en kompis som hade det där och han fick problem med sin Iphone4 eftersom bankID:et inte gick att kombinera med miniSIM:et. Är det fortfarande ett problem?

Jo, jag känner till den lösningen - men den är ju inte aktuell i detta fall angående hacket vi diskuterar. Den lösningen har ju nästan ingen dödlig medborgare.
Förresten...har inte ekort bara med betalning att göra? När man handlar på nätet?

Sant. Ibland får man intrycket av att någon ska hacka din telefon, sno dina pengar via din internetbank, skicka grovt pornografiska bilder till dina medarbetare och dina barns lärare samt ringa upp din mamma, låtsas vara du och be henne dra åt helvete.
Det finns svagheter i alla system överallt och där man inte har hittat några har man bara inte letat tillräckligt. Sen kommer det ju lite rapporter lite här och där om olika systems säkerhetsbrister och det är väl kanske lite mycket begärt av journalistkåren att vid varje tillfälle sakligt jämföra med konkurrerande system.

@PeeMaN

Det är ju konstigt att komma med något som man hävdar är sanning om man sedan inte kan leverera källa, eller hur? Det får ju de som kritiskt läser det du skriver att inte fästa någon vikt vid det du säger...det du påstår är kanske inte allmän vetskap

För övrigt, jag har inte varit del av denna diskussionen utan endast iakttagit det ni skrivit men jag känner att tonen som många använder kanske kunde vara lite bättre, det känns väldigt irriterat här.

Källan finns klar och tydlig, Sveriges Television samt TV4 AB.

Ok, ungefär som att sätta "Stadsbiblioteket" i en källförteckning.

Men, skämt åsido... Som jag redan skrivit i tråden så tar jag inte ställning varken för eller emot kritiken mot Rapport. Men jag anser ändå att om någon hävdar att Android och Symbian tidigare har fått motsvarande kritik som iOS, så måste man kunna backa upp det med källor. Och då inte bara "SVT och TV4" - det räcker liksom inte.

Just nu har vi bara ditt ord på att det någon gång förekommit någon form av kritik mot Android och Symbian i SVT och TV4. Vi kanske själva vill värdera den kritiken, för att kunna jämföra med den här Apple-kritiken.

Men nu är ju detta ingen disputation...

Jag kommer osökt att tänka på "säkerhetsexperten" som för några månader "visade" hur enkelt man hackar en iPhone. Vi har ju sedan dess sett mängder av artiklar om oskyldiga som hackats och fått sina bankkonton länsade. Jag har klarat mig bra själv dock, har plockar ur sim-kortet, stängt av bluetooth och wifi, tejpat för skärmen och dränerat batteriet. Känner mig helt trygg!

Jag personligen tycker att det är journalistens ansvar att kolla upp om dessa brister även drabbar andra märken och likvärdig utrustning, på så vis blir journalistens arbete trovärdig, men SVT:s journalist var långtifrån trovärdig när denne inte kollade upp om andra likartade produkter har samma brister… Hittar man något intressant, ta in en objektiv säkerhetsexpert för intervju…

t.ex. hittar man säkerhetsbrister (ex. fejkad basstation) iPad 2, bör man även automatiskt kolla upp andra märkens dito.

Surfa 3G istället för wifi;)

Suck, om det är enkelt eller inte spelar ingen roll. Bara för att inte ALLA iPhones blir hackade innebär det inte att du är säker. Det räcker med att en person som har access till känslig information eller dyl. Se på HBGary-hacket, killen var lite kaxig, blev hackad och massor av känslig information släpptes på TPB.

Det skulle bli ohållbart, jag kan hålla med dig om det handlar om ett test. Men detta är enbart en "nyhet" och då kan man inte förvänta sig en 20 sidors pdf där de testat varenda mobil i världen.

Hjälper föga när säkerhetshålen sitter i Safari.

3G är väl krypterat? Man kan i alla fall inte avlyssna samtal.

Syftade mer på att man fortfarande kan få in skit i telefonen om man surfar på 3G.

Klart att det inte hjälper när safari läcker som ett såll men jag tänkte mest på att man inte kan bli hackad på tex internet café och andra öppna hotspots.

Ett företag (Apple) som marknadsför sig som att ha "säkra" produkter där användarna inte behöver oroa sig för virus och annan skadlig kod kanske får tåla att granskas lite hårdare?
Sen är det bara att inse att helt sakliga reportage som belyser alla vinklar inte existerar. Jag menar hur intressant vore det att man först påpekar brister i iOS och sedan går igenom brister hos alla andra stora operativsystem. Ett sånt reportage hade ju tagit en halvtimme. Vi vanliga dödliga vill ha korta kritiska sensationsnyheter som målar upp en gemensam fiende att hata under de 2 minuter långa reportaget.

Njae, de flesta dödliga föraktar nog den typen av "nyheter".

Jag kan inte minnas att jag har hört eller sett något i marknadsföringsväg beträffande säkerhet i iOS, mer än det som står att läsa här: Apple - iPhone - iOS 4 är världens mest avancerade mobiloperativsystem (skärmdump bifogad). Jag kan inte värdera sanningshalten i informationen. Det står ju här att program körs i en säker miljö så att en webbplats eller ett program inte kan få tillgång till andra program. Av det som skrivits i tråden drar jag slutsatsen att de finns de som påstår motsatsen.
Och de produkter som Apple framförallt marknadsför som "säkra" är ju de som kör Mac OS X, vilka också är säkra i jämförelse med Windows.

Tror du kan revidera "påstår" till "bevisat"

Jag sågar rapport istället.

Struwe skulle jag inte pissa på ens om han brann med öppen blå låga.
Han har tidigare raggat tag i "skandalgrejer" runt iPhones, känns la som en sisådär seriös kille.

Jo, men nog skulle du hälla en hink med vatten på honom? I rent humanitärt syfte?

Jag pratar bara om lösenord och personnummer... ingen annan auth-lösning.

Du måste skämta?
Lämnar du aldrig din mac-bubbla?
Microsoft får KONSTANT skit för att de har haft dålig säkerhet i sitt OS.
Citerar dessutom Charlie Miller:

Please compare the quality of code you have reversed in OSX vs. other platforms in terms of security. Does Apple pay more/equal/less attention to secure software development when compared to other vendors?

I think Apple code used to be quite a bit worse than, say, MS code, although this is a very difficult thing to measure. MS started trying to write secure code back in 2003, while Apple only recently found religion. However, I’ve noticed some improvements lately in Apple, so this divide may not be as large as it used to be. For example, I’ve known a few very serious flaws in OS X for over a year. I’ve noticed that a large number of them are going to be patched in the next version 10.6.7 that comes out, so Apple is starting to secure up their code I think, which is awesome.

Detta är det stora felet som jag ser det. Om någon hacker som har kunskap om att utföra, och möjlighet att iscensätta en sådan attack måste ju payoffen vara ganska stor för att det ska vara värt besväret. Inte något så simpelt som identitetsstöld eller liknande. Det finns mycket enklare sätt att göra det på. D.V.S. man ska sitta på dyr/åtråvärd information för att man ska behöva oroa/skydda sig specifikt mot denna sorts attack. Eller?

Om det inte är en reell risk för den vanliga användaren att utsättas för en sådan attack är det oskäligt och spekulativt att rapportera om det med braskande rubriker. Precis som jag stark ogillar hur nyhetsmedier frossar i grova brott och straff när det är en så marginell företeelse i samhället...