Vorsicht Diagnose-APIs

So sichern Sie potenzielle iOS-Hintertürchen ab

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Die mögliche Existenz von Backdoors in iPhones und iPads dürfte für IT-Entscheider Grund genug sein, sich um die Integrität der darauf befindlichen geschäftskritischen Daten zu sorgen, nicht zuletzt unter dem Aspekt Industriespionage. Doch was tun?
Foto: James Steidl/Fotolia.com

Der Entwickler Jonathan Zdziarski hat in einer Präsentation aufgezeigt, wie einfach es Apple Behörden und anderen gemacht hat, über undokumentierte APIs auf eine Vielzahl von Daten auf iPhones und iPads zuzugreifen. Zwar hat Apple inzwischen heftig dementiert und darauf verwiesen, dass es sich nur um Diagnosefunktionen handelt, um IT-Abteilungen, Entwicklern und Apple Informationen zur Lösung technischer Probleme bereitzustellen. Damit sind jedoch bei weitem nicht alle Zweifel aus der Welt geräumt, dass diese Diagnosefunktionen nicht die Privatsphäre und Sicherheit des Nutzers kompromittieren.

Ojas Rege, Vice President Strategy beim EMM-Spezialisten MobileIron
Ojas Rege, Vice President Strategy beim EMM-Spezialisten MobileIron
Foto: MobileIron

Ojas Rege, rühriger Chefstratege beim Spezialisten für Enterprise Mobility Management MobileIron, hat sich in einem Blog-Beitrag damit beschäftigt, was Unternehmen mit ihren iOS-Geräte tun können, um so die Gefahren einer potenziellen Abhöraktion zumindest abzuschwächen. Hier seine Tipps:

  • Stellen Sie sicher, dass Ihre Geräteflotte mit einem Device-Passwort gesichert ist. Auf diese Weise werden Angreifer daran gehindert, iOS-Geräte ohne das Wissen des Anwenders physikalisch mit einem Computer zu verbinden und ihn als vertrauenswürdig zu erklären.

  • Aktualisieren Sie alle iPhones und iPads auf Version iOS 7 oder höher. Ab iOS 7 werden Anwender explizit danach gefragt, ob sie einem verbundenen Computer trauen.

  • Empfehlen Sie Ihren Anwendern, die zur Synchronisation (z.B. iTunes, iPhoto) genutzten Rechner per Passwort abzusichern. Ein sehr erfahrener Hacker ist nämlich in der Lage, die Pairing-Schlüssel von einem zuvor als vertrauenswürdig eingestuften Computer zu entwenden, wenn er direkt darauf zugreifen kann und die Festplatte nicht verschlüsselt ist.

  • Legen Sie Ihren Anwendern ans Herz, einem Rechner oder Zubehörgerät nur dann zu trauen, wenn sie von dessen Sicherheit völlig überzeugt sind. Wenn etwa eine dubiose Ladestation an einem öffentlichen Ort die Aufforderung schickt, dem angeschlossenen Computer zu vertrauen, sollte man ablehnen - für den Ladevorgang ist dies nicht erforderlich. Hier ist eine anhaltende Schulung der Anwender ratsam.

  • Überlegen Sie, ob es Sinn macht, Pairing-Einschränkungen für abgeriegelte Devices oder Geräte, die nicht mit fremden Computern oder Zubehör synchronisieren müssen, festzulegen. Möglich ist dies über die Konfiguration im Device Enrollment Program (DEP) von Apple oder den Bereich "Berechtigungen" im iOS-Konfigurationsprofil. Auf beide Konfigurationen kann man auch über MobileIron (und vermutlich auch andere MDM-Lösungen) zugreifen.