Moin moin,
ich sehe immer viele die ihr iphone/ipad jailbreaken, installous installieren und dort alles mögliche ohne nachzudenken installieren. Ich frage mich wirklich wie sicher sowas sein sein. Im Prinzip kann jeder dort seine Apps hochladen und irgendwelche Trojaner mit installieren die alles mitloggen was man mit seinem Gerät macht. Vielleicht macht dies der Herr Saurik ja auch sogar selber schon. Überprüfbar ist dies ohne fundiertes Wissen wohl nicht. Man müsste sich den Quellcode jeder App angucken ob dort was zu finden ist. Wer kann das schon und wer macht das schon.

Online shopping, banking, Kreditkartendaten, Kontaktliste,E-Mails und Passwörter. Alles schöne Dinge mit denem man viel Mist anstellen kann.

Auf der anderen Seite frage ich mich was sich Apple davon alles holt. Wie sicher ist es überhaupt sowas mit einem Smartphopne zu machen.

Wie ist eure Meinung?

Gruß

Kai

Wie richtig von die erkannt, werden diese freien Apps und die gecrackten Apps nicht kontrolliert und können alles mögliche enthalten.
Apps aus dem Appstore sind durch Apple kontrolliert.

Soweit ich weiß unterliegen die Apps für Android generell keiner Kontrolle, da kannst du dir imho im offiziellen Store die Seuche fangen.

Im Prinzip bleibt es bei der einfachen Frage: Vertraust du ihm?

Vertraust du dem Onlinehändler, dass er keinen Schindluder mit deinen Kreditkarten treibt? Vertraust du dem Entwickler des letzten Indiegame Hits, dass er deine Emailadresse nicht an einen Spammer weiterverkauft? Vertraust du deinem Social Network, dass deine privaten Fotos nicht irgendwie in der Öffentlichkeit landen?

Verwendest du einen Jailbreak, vertraust du nicht nur Apple, dass sie deine Daten ordentlich behandeln (und dafür sorgen dass App Entwickler das gleiche tun), sondern jedem einzelnen am Jailbreak Beteiligten und den Entwicklern der genutzten Apps. Ist das nicht der Fall, solltest du keinen Jailbreak nutzen.

Wie richtig von die erkannt, werden diese freien Apps und die gecrackten Apps nicht kontrolliert und können alles mögliche enthalten.
Apps aus dem Appstore sind durch Apple kontrolliert.

Soweit ich weiß unterliegen die Apps für Android generell keiner Kontrolle, da kannst du dir imho im offiziellen Store die Seuche fangen.

Deswegen gab es auch schon so einige Fallstricke im Apple Appstore. Wer meint du kannst dir im Appstore keine Apps runter laden die sonst was machen erzählt einfach nur quatsch. Das einzige was Apple sicher durchzieht ist ihre verschrobene Moralvorstellung durchsetzen. Da werden die Apps kontrolliert. Ansonsten gab es schon einige Beispiele wo Apps alles möglicher veranstalten konnten und spioniert haben wie sie wollten.

Deswegen gab es auch schon so einige Fallstricke im Apple Appstore. Wer meint du kannst dir im Appstore keine Apps runter laden die sonst was machen erzählt einfach nur quatsch. Das einzige was Apple sicher durchzieht ist ihre verschrobene Moralvorstellung durchsetzen. Da werden die Apps kontrolliert. Ansonsten gab es schon einige Beispiele wo Apps alles möglicher veranstalten konnten und spioniert haben wie sie wollten.

Kein System ist sicher, aber Schadsoftware auf iPhones/iPads zu bringen ist ungleich schwieriger durch das geschlossene System! Es hat Vor- und Nachteile... Der unbestreitbare Vorteil ist aber die gegebene Sicherheit.
Nicht umsonst steht iOS als sicherstes mobiles Betriebsystem dar...

Cyv, Geschlossenheit hat nichts mit Sicherheit zu tun. Siehe PDF exploit etc. der bei Jailbreak.me genutzt wurde. Ebenso ist iOS nicht das sicherste System noch garantiert der Approval Process für den AppStore irgendwas.

Soweit ich weiß unterliegen die Apps für Android generell keiner Kontrolle, da kannst du dir imho im offiziellen Store die Seuche fangen.

Das stimmt so nicht. Google checkt im Hintergrund Apps automatisch auf Viren, dies passiert jedoch nicht in Echtzeit. Es gibt zwar mehr Freiheiten, aber keinen absoluten Wildwuchs.

Apples System ist da deutlich sicherer, aber eben auch langsamer.

Das stimmt so nicht. Google checkt im Hintergrund Apps automatisch auf Viren, dies passiert jedoch nicht in Echtzeit.

Doch, Bouncer wird sofort beim Upload einer App tätig:

http://googlemobile.blogspot.de/2012/02/android-and-security.html

Perfekt ist das natürlich nicht aber auch bei iOS gab es schon Malware, die Sicherheitslücken ausgenutzt hat. Etwas Mitdenken kann also bei beiden Systemen nicht schaden.

Man sollte unabhängig bei beiden System nen Antivirus installieren, denke ich...
Zu mindestens bei Android gibt es ein haufen guter Lösungen gratis und die Power/RAM ist heut zutage auch mehr als ausreichend dafür.

Ist natürlich auch keine 100%ige Sicherheit - aber die gibt es eben niemals.
Was Installous an geht - so glaube ich dass man die Apps nicht manuell uploaden kann, sondern um ein anderes Programm (glaub crackolus oder so), welches gleichzeitig die App crackt.
Mit anderen Worten: Ich kann nicht eben mal nen Virus programmieren und den als "Angry Birds Space.ipa" hoch laden. Natürlich könnte ich auch ein Virus in nem original Spiel einpflanzen... aber damit wird die Sache schon wesentlich schwerer.
- Aber wie gesagt, ich bin mir nicht sicher.

Das, was Saurik mit Cydia macht, ist eigentlich nichts anderes als ein Frontend für APT zu schreiben und einige Ports von BSD-Tools anzubieten. Cydia ist afaik auch Open Source. Kritischer sind da imho eher die voreingestellten Paketquellen, wobei das eher ein kleiner Kreis von ausgewählten Personen ist. Soweit ich weiß, haben die ihre eigenen Repos und nehmen dort auch Pakete von anderen Entwicklern auf, aber vermutlich werden die vorher auf ihre Funktionalität geprüft. Sicher bin mir dabei aber nicht.

Bei den gängigen Desktop-Betriebssystemen kann man übrigens auch (ja, oh Wunder!) Programme aus jeder Quelle installieren. Meistens brauchen die dafür Admin-Rechte und da beschwert sich auch niemand. Warum?

Bei einem Desktop System gibt es aber passende Virenprogramme die einem recht gut schützen solange dieser immer aktuell ist. Bei Apple gibt es sowas nicht von vertrauenswürdigen Anbietern.

Bei einem Desktop System gibt es aber passende Virenprogramme die einem recht gut schützen solange dieser immer aktuell ist. Bei Apple gibt es sowas nicht von vertrauenswürdigen Anbietern.

ab dem ersten richtigen Virus, wirds ein "there is an app for that" geben, wo andere Systeme sich dann eins abgrinsen ;)

Nur um das klarzustellen: Ich finde einen zentralen App Store mit signierten Apps und Approval-Prozess grundsätzlich gut. Trotzdem ist es eben so, dass alle Desktop-Betriebssysteme genau das nicht durchgängig bieten und damit kommen technisch halbwegs versierte Leute trotzdem seit vielen Jahren gut klar. Die Frage ist gar nicht, ob das Konzept von Cydia per se unsicher ist, weil wir damit mehr oder weniger jeden Tag an Workstations und Co. konfrontiert werden, sondern ob man sich selbst diese Verantwortung zutraut. Wer das kann, soll das gerne tun. Alle anderen besser nicht. Punkt.

Gecrackte Programme sind noch ein ganz anderes Thema.

Bei einem Desktop System gibt es aber passende Virenprogramme die einem recht gut schützen solange dieser immer aktuell ist. Bei Apple gibt es sowas nicht von vertrauenswürdigen Anbietern.

Die einen schützen, wenn es meistens schon zu spät ist. Das hat mich noch nie wirklich überzeugt. Hälst du das auf Dauer für praktikabel?

Trotzdem ist es eben so, dass alle Desktop-Betriebssysteme genau das nicht durchgängig bieten und damit kommen technisch halbwegs versierte Leute trotzdem seit vielen Jahren gut klar.

Software-Repositories unter Linux sind doch im Grunde nichts anderes als ein "App-Store"... Apple hat da nur ein nettes Frontend geschaffen.

In die jeweils Distro-Eigenen Repos (analog Apple App Store) bekommt man auch nicht so ohne weiteres "seine" Software rein, wenn mich da nicht alles täuscht.
Da wird z.b. sehr restriktiv "zensiert"; alles was der Distro nicht passt, bleibt außen vor (Codecs; DeCSS; Q3A/D3 nur ohne Levelpacks (iD owned Content); keine Binarys ohne Quelcode etc...).
Da wird auch "gnadenlos" vom Hausrecht gebraucht gemacht; will man mehr müssen externe Repos eingebunden werden.
Ein Zugriff darauf erfolgt "ohne Garantie" seitens der Distro-"Hersteller".

Nichts anderes ist doch ein iOS Jailbreak oder ein setzten des OSX 10.8 ML Gatekeepers auf "disabled"
;)

Wenn man das macht, muß man sich darüber im klaren seien, das man hier ein kleines Stückchen Sicherheit (keine Absolute Sicherheit, die gibt es nicht), zugunsten von Freiheit und Flexibilität aufgibt.

Das Hauptproblem ist doch, daß es der gemeine User (aus der Windowswelt) nicht anders kennt.
Da darf der Defaultuser (Admin ohne PW) immer alles aus allen Quellen installieren... er hat nie gelernt, das mit dieser Freiheit auch eine gewisse Eigenverantwortung mit einher kommt.

Es gab/gibt einen Virus in Cydia der sms Nachrichten im laufenden Band verschickt hat. Sollte dies bei einer Apple Store App passieren hat man ganz klar den Namen des Herausgebers bzw. einen Schuldigen. In Cydia ist man einfach "gearscht" und bleibt auf den Kosten sitzen.

So einen Virus erkennt man relativ schnell, weil die Leute in der Kontaktliste einen Fragen warum man so komische Nachrichten versendet. Bei Spionage Trojanern kriegt man sowas aber nicht mit. Wie auch. Man merkt davon einfach nichts. Alles funktioniert so wie immer. Darum geht es doch. Sowas kann man meines erachtens einfach nicht ausschließen.

Software-Repositories unter Linux sind doch im Grunde nichts anderes als ein "App-Store"... Apple hat da nur ein nettes Frontend geschaffen.

In die jeweils Distro-Eigenen Repos (analog Apple App Store) bekommt man auch nicht so ohne weiteres "seine" Software rein, wenn mich da nicht alles täuscht.

Bei denen der Distro verhält sich das schon eher wie bei Apple, ja. Ganz so restriktiv ist das aber natürlich nicht. Einige Repos bei z.B. Ubuntu sind vollständig von der Community gemanagt und ich bin mir fast sicher, dass Canoncial da nicht jedes Paket so genau überprüft.

Bei Cydia ist das eben ein wenig dämlich gelöst. Telesphoreo und die weiteren „seriösen“ Repos sind per Default drin, aber eben auch ein paar, die eigentlich IMHO optional sein sollten.

Der Jailbreak ist grundsätzlich nicht unsicher, nur weil er Software ohne Signierung von Apple zulässt. Eigentlich hängt nur alles vom Repo-Management ab.

Grundsätzlich gilt:
Wer sich bei Installous die Seuche holt, hat es auch nicht anders verdient, weil er sich die Software illegal beschafft hat bzw. nicht bezahlen wollte.

Aber es gibt tatsächlich auch einen kleinen aber feinen Vorteil von Installous bzw. IPAs ausserhalb des AppStore:

Man kann sehr teure Apps ausprobieren und schauen, mit welcher App man besser zurechtkommt; Performancetest inklusive.
Beispiel Navigation: Navigon oder TomTom? Statt direkt 89€ für die Europa Versionen hinzublättern, kann man beide mit gecrackten IPAs und Jailbreak erst einmal in Ruhe und in seiner Umgebung testen.

Ansonsten kosten die meisten Apps ja nun wirklich kein Vermögen und deshalb verstehe ich auch nicht, warum man das Risiko dann überhaupt eingeht.
Natürlich gibt es aber auch einfache Mittel in Cydia und Brain 2.0, um eventuell infizierte Apps auszuhebeln. Danach zu fragen ist natürlich zwecklos und bei versierten Nutzern sowieso überflüssig. ;)