Apple schließt zum 1. Mai größte Sicherheitslücke (UDID)

    Zum ersten Mai dieses Jahres schafft Apple endlich die größte Sicherheitslücke seit bestehen des iOS ab.


    Schon vor zwei Jahren wurde dies von Apple angekündigt und das auslesen der UDID im SDK als veraltet gekennzeichnet. Das heisst bereits in iOS 5.0 sollte diese Funktion nicht mehr verwendet werden. Leider verwenden bis zum heutigen Tag unzählige Apps die UDID zur Authentifizierung. Das heisst: Ohne Usernamen und/oder Passwort zu kennen reicht die Kenntnis der eindeutigen Geräte ID aus um fremde Accounts zu nutzen und/oder zu übernehmen.


    Schon lange bat Apple die Programmierer Alternative einzusetzen und einen einmaligen Schlüssel zu generieren. Leider tummeln sich noch immer unzählige Apps im AppStore die das schlicht ignorieren.


    Damit ist am 01.05.13 endlich Schluss: Apple akzeptiert weder Neuzugänge noch Updates von Apps im AppStore die die eindeutige ID (UDID) eures Gerätes auslesen.


    Quelle: https://developer.apple.com/news/
    Alternativen: https://developer.apple.com/li…pendixADeprecatedAPI.html

    Was passiert mit alten Apps unter iOS7? Verschwindet "[[UIDevice currentDevice]uniqueIdentifier]" komplett aus iOS7? Das heisst viele alte nicht mehr gepflegte Apps würden dann nicht mehr laufen. Oder bleibt die Funktion erstmal erhalten um noch eine zeitlang Abwärtskompatibilität zu bieten?

    Na ich hoffe doch der Cut ist direkt am 1.5.13. Denn alle Apps haben seit iOS 5 genug Übergangszeit erhalten!

    Da gibt es keinen "Cut". Apps die die UDID auslesen werden einfach nicht mehr zugelassen. Apps die schon im Store sind betrifft das nicht, bzw nur wenn sie eine neue Version einreichen möchten.


    BTW: Die UDID ist keine Sicherheitslücke sondern ein durchaus praktisches Werkzeug für Entwickler, das nur oft total falsch verwendet wird, und daher jetzt zurecht nicht mehr erlaubt ist...

    Zitat

    Original geschrieben von seatopen
    Da gibt es keinen "Cut". Apps die die UDID auslesen werden einfach nicht mehr zugelassen. Apps die schon im Store sind betrifft das nicht, bzw nur wenn sie eine neue Version einreichen möchten.


    Meine Frage bezog sich auf iOS7. Wird eine App die für iOS5 kompiliert wurde und die UDID ausliest unter iOS7 lauffähig sein?


    Und sich in einen fremden Account einloggen zu können ohne dessen Usernamen und Passwort zu kennen ist eine Sicherheitslücke.

    Zitat

    Original geschrieben von MiaForster
    Meine Frage bezog sich auf iOS7. Wird eine App die für iOS5 kompiliert wurde und die UDID ausliest unter iOS7 lauffähig sein?

    Ich gehe davon aus, dass die Funktion in iOS7 dann einfach den Wert 0 zurückliefern wird. Würde man den Aufruf ganz rausnehmen, würden Apps die den Funktionsaufruf nutzen direkt abstürzen.


    Und erst der Jailbreak macht das Nutzen der UDID zu einem riesigen Problem. Ich kann meinem Gerät jede beliebige UDID vergeben und bekomme so im Handumdrehen Zugriff auf mehr oder weniger sensible Daten. Durchgesetzt hat sich dies weitgehend bei Spieleherstellern. Aber es gibt auch SocialNetworks die die UDID als Authentifiezierung nutzen. Kenne ich die UDID des anderen, kann ich dessen Online Identität übernehmen.


    Ist also lange überfällig dass Apps die eindeutige ID des Gerätes auslesen können um damit einem Nutzer zu identifizieren.

    Zitat

    Original geschrieben von MiaForster
    Meine Frage bezog sich auf iOS7.

    WIe soll jemand eine Frage zu iOS 7 (sinnvoll) beantworten können? :confused:

    Zitat

    Original geschrieben von rasputin
    WIe soll jemand eine Frage zu iOS 7 (sinnvoll) beantworten können? :confused:

    Wie bereits geschrieben. Die Funktion wird irgendein gültiges Ergebnis (0, 1 oder sonstwas) zurück liefern damit die App nicht abstürzt. Zu viele alte ungepflegte Apps tummeln sich im AppStore.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden