Sie sind hier
E-Book

iOS Security

Sichere Apps für iPhone und iPad

AutorCarsten Eilers
Verlagentwickler.press
Erscheinungsjahr2014
Seitenanzahl274 Seiten
ISBN9783868022889
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis22,99 EUR
Apple betont gerne, wie sicher iOS ist. Doch jede Sicherheit ist relativ, wenn eine App nicht ausreichend geschützt ist. Dieses Buch erläutert die Möglichkeiten für Angriffe auf iOS-Geräte sowie iOS-Apps und erläutert, welche Schwachstellen sich im System befinden. Gleichzeitig werden die Schutzmaßnahmen wie die Sandbox, die Key Chain und weitere Apple Sicherheitsfunktionen so offengelegt, dass Sie deren Möglichkeiten voll ausnutzen und Ihre App richtig schützen können.

Dipl.-Inform. Carsten Eilers ist freier Berater und Coach für IT-Sicherheit und technischen Datenschutz. Seine Arbeitsschwerpunkte sind die Sicherheit von Webanwendungen, lokalen Netzen und einzelnen Client-Rechnern. Er ist regelmäßiger Autor für das PHP- und das Entwickler-Magazin und schreibt auch für andere Fachzeitschriften und Onlinemedien. Sie erreichen ihn unter www.ceilers-it.de, sein Blog mit Grundlagenartikeln zur IT-Sicherheit sowie Kommentaren zu aktuellen Entwicklungen finden Sie unter www.ceilers-news.de.

Kaufen Sie hier:

Horizontale Tabs

Blick ins Buch
Inhaltsverzeichnis
Inhaltsverzeichnis5
Vorwort13
Kapitel 1 Angriffe in Theorie und Praxis19
1.1„Angriffe“ durch Forscher19
1.2Angriffe auf Schwachstellen...25
1.2.1... bei Pwn2Own...25
1.2.2... und Jailbreaking27
1.3Schadsoftware im Überblick29
1.4Bösartige Apps im App Store31
1.5Ein einziger wirklich schädlicher Angriff34
1.6Apple will keine Virenscanner37
1.7Fazit37
Kapitel 2 Sicheres Booten, Sandbox & Co. – Die Schutzmaßnahmen im Überblick39
2.1Die sichere Boot-Kette40
2.2Signatur der Apps43
2.3Schutzmaßnahmen zur Laufzeit44
2.4Apps in der Sandbox46
2.5Rund um die Kryptografie47
2.5.1Der gerätespezifische Schlüssel48
2.5.2Die weiteren Schlüssel50
2.5.3Das Löschen von Schlüsseln50
2.6Schutz der Dateien50
2.6.1Data Protection im Überblick51
2.6.2Die Schutzklassen52
2.6.3Was kann geschützt werden?55
2.7Schutz der Daten im Schlüsselbund55
2.8Keybags58
2.8.1System Keybag59
2.8.2Backup Keybag59
2.8.3Escrow Keybag60
2.8.4iCloud Backup Keybag61
2.8.5Bestandteile eines Keybags61
2.9Netzwerksicherheit62
2.9.1SSL und TLS62
2.9.2VPN63
2.9.3Wi-Fi64
2.9.4Bluetooth64
2.9.5Keine Firewall65
2.10Sperrcode und Zugriffsschutz66
2.10.1Anforderungen an den Sperrcode66
2.10.2Touch ID – Fingerabdruck statt Sperrcode68
2.10.3Erzwingen einer bestimmten Konfiguration70
2.10.4Konfiguration der Geräte71
2.10.5Einschränkungen der Gerätefeatures72
2.10.6Konfigurationsprofile als Angriffsvektor74
2.10.7Löschen aus der Ferne (Remote Wipe)75
Kapitel 3 Die Schutz-maßnahmen nutzen77
3.1Die sichere Boot-Kette77
3.2Signatur der Apps78
3.3Schutzmaßnahmen zur Laufzeit79
3.3.1Berechtigungen (Entitlements)79
3.3.2URL-Schemata84
3.3.3Das Erschweren von Pufferüberlauf-Exploits85
3.4Apps in der Sandbox85
3.5Rund um die Kryptografie86
3.6Schutz der Dateien87
3.7Schutz der Daten im Schlüsselbund90
3.7.1Die Daten im Schlüsselbund90
3.7.2Die Nutzung des Schlüsselbunds92
3.8Keybags102
3.9Netzwerksicherheit102
3.9.1SSL und TLS102
3.9.2VPN114
3.9.3Wi-Fi114
3.9.4Bluetooth115
3.10Sperrcode und Zugriffsschutz115
Kapitel 4 Der Wegweiser zur117
4.1iOS ist nicht so sicher, wie Apple uns glauben macht!117
4.2Sichere App-Entwicklung119
4.3Der Weg ist das Ziel119
4.4Schwachstellen im Überblick120
4.4.1Objective-C ist auch nur C120
4.4.2Unzureichend geprüfte Eingaben121
4.4.3Interprozesskommunikation122
4.4.4Unsichere Dateioperationen122
4.4.5Schwachstellen in der Zugriffskontrolle, Authentifizierung und Autorisierung123
4.4.6Fehler in der Kryptografie125
4.4.7Race Conditions125
4.4.8Social Engineering126
4.5Die OWASP Top 10 Mobile Risks127
4.5.1M1: „Insecure Data Storage“127
4.5.2M2: „Weak Server Side Controls“128
4.5.3M3: „Insufficient Transport Layer Protection!“129
4.5.4M4: „Client Side Injection“,130
4.5.5M5: „Poor Authorization and Authentication“131
4.5.6M6: „Improper Session Handling“132
4.5.7M7: „Security Decisions via untrusted Inputs“132
4.5.8M8: „Side Channel Data Leakage“133
4.5.9M9: „Broken Cryptography“133
4.5.10M10: „Sensitive Information Disclosure“133
Kapitel 5 Ein sicherer Entwicklungszyklus135
5.1Der SDL im Überblick136
5.1.1Die Grundsätze des SDL136
5.1.2Die Phasen des SDL137
5.1.3Fazit143
5.2Bedrohungsmodelle – Application Threat Modeling143
5.2.1Bedrohungsmodelle im „Real Life“143
5.2.2Viele Wege führen zum Ziel144
5.2.3Entwurfsgesteuerte Bedrohungsmodellierung145
5.2.4STRIDE146
5.2.5Ein einfaches Beispiel147
Kapitel 6 Pufferüberlauf- und Formatstring-Schwachstellen151
6.1Der Pufferüberlauf151
6.1.1Ein C-Programm und sein Speicher152
6.1.2Ein Pufferüberlauf auf dem Stack153
6.1.3Angriff über die Pufferüberlaufschwachstelle155
6.1.4Varianten des Pufferüberlaufs156
6.1.5Pufferüberläufe verhindern, allgemein157
6.1.6Schutzmaßnahmen erschweren Angriffe158
6.1.7Pufferüberläufe in iOS verhindern162
6.1.8Pufferüberläufe finden167
6.2Des Pufferüberlaufs kleiner Bruder: Der Pufferunterlauf168
6.2.1„Short Write“ und „Short Read“169
6.2.2Pufferunterläufe verhindern170
6.3Formatstring-Schwachstellen172
6.3.1Angriff über eine Formatstring-Schwachstelle172
6.3.2Objective-C und die Formatstrings173
6.3.3Formatstring-Schwachstellen verhindern173
6.4Das Standardbeispiel im Licht von Kapitel 6176
Kapitel 7 Eingaben überprüfen179
7.1Eingabefelder für Texte180
7.2Dateien aller Art181
7.3URLs183
7.4Das Standardbeispiel im Licht von Kapitel 7187
7.4.1Eingabefelder für Texte188
7.4.2Dateien189
7.4.3URL189
Kapitel 8 Rund um die Kommunikation191
8.1Interprozess- und Netzwerkkommunikation191
8.1.1RPC (Remote Procedure Calls)191
8.1.2Signale192
8.2Netzwerkverbindungen193
8.2.1Authentifizierung des Benutzers193
8.2.2AirDrop199
8.2.3Gefährliche Umleitungen in Web200
8.3Das Standardbeispiel im Licht von Kapitel 8204
Kapitel 9 Race Conditions und sichere Dateioperationen205
9.1Race Conditions205
9.1.1Das böse Multitasking205
9.1.2„Time of Check – Time of Use“–Schwachstellen207
9.1.3Race Conditions beim Signal-Handling211
9.2Sichere Dateioperationen211
9.2.1Result Codes sind zum Prüfen da!212
9.2.2Links können problematisch sein212
9.2.3Gefahren durch Case-insensitive Dateisysteme214
9.2.4Temporäre Dateien216
9.2.5Gefährlich: Dateien in öffentlich beschreibbaren Verzeichnissen217
9.3Das Standardbeispiel im Licht von Kapitel 9218
9.3.1Race Conditions218
9.3.2Dateioperationen219
Kapitel 10 Kryptografie221
Kapitel 11 Sicherheit der Benutzeroberfläche225
11.1Das A und O: Sichere Default-Einstellungen225
11.2Keine gefährlichen Aktionen ohne explizite Zustimmung226
11.3Keine Übertragung sensitiver Daten ohne Zustimmung227
11.4Vor unwiderruflichen Aktionen wird gewarnt!227
11.5Vor Gefahren wird gewarnt!227
11.6Sicherheit hat Priorität228
11.7Entsprechen Sie den Erwartungen des Benutzers229
Anhang: Einführung in die Kryptografie231
A.1Symmetrische Systeme232
A.2Asymmetrische Systeme234
A.3Symmetrisch + Asymmetrisch = hybride Systeme235
A.4Authentikationssysteme236
A.5Ein Beispiel für ein hybrides Verfahren237
A.6Hash-Funktionen241
A.7Digitale Zertifikate242
A.8SSL/TLS243
A.9Kryptografie unter iOS245
Link- und Literatur-
247
Stichwortverzeichnis268

Weitere E-Books zum Thema: Mac - Apple - IOS - iPhone

Mac OS X Tiger

E-Book Mac OS X Tiger
Netzwerkgrundlagen, Netzwerkanwendungen, Verzeichnisdienste Format: PDF

Bei Mac OS X handelt es sich um das jüngste Betriebssystem von Apple Computer. Es unterscheidet sich vom Vorgänger Mac OS 9 nicht nur durch eine Vielzahl von neuen Funktionen und durch die neue…

Mac OS X Tiger

E-Book Mac OS X Tiger
Netzwerkgrundlagen, Netzwerkanwendungen, Verzeichnisdienste Format: PDF

Bei Mac OS X handelt es sich um das jüngste Betriebssystem von Apple Computer. Es unterscheidet sich vom Vorgänger Mac OS 9 nicht nur durch eine Vielzahl von neuen Funktionen und durch die neue…

Mac OS X für Profis

E-Book Mac OS X für Profis
Format: PDF

Dieses ebook richtet sich an fortgeschrittene Mac-Anwender, die unter Mac OS X das Terminal nutzen und Open-Source-Anwendungen installieren und anwenden möchten. Außerdem gibt das ebook eine…

Apple's iPad im Enterprise-Einsatz

E-Book Apple's iPad im Enterprise-Einsatz
Einsatzmöglichkeiten, Programmierung, Betrieb und Sicherheit im Unternehmen Format: PDF

Der iPad von Apple eröffnet gerade Unternehmen neue Kommunikationswege. Die Autoren liefern Vorschläge, wie man die Apple-Bedienphilosophie und Applikationen (kurz Apps) in Verbindung mit dem iPad…

Apple's iPad im Enterprise-Einsatz

E-Book Apple's iPad im Enterprise-Einsatz
Einsatzmöglichkeiten, Programmierung, Betrieb und Sicherheit im Unternehmen Format: PDF

Der iPad von Apple eröffnet gerade Unternehmen neue Kommunikationswege. Die Autoren liefern Vorschläge, wie man die Apple-Bedienphilosophie und Applikationen (kurz Apps) in Verbindung mit dem iPad…

Apple's iPad im Enterprise-Einsatz

E-Book Apple's iPad im Enterprise-Einsatz
Einsatzmöglichkeiten, Programmierung, Betrieb und Sicherheit im Unternehmen Format: PDF

Der iPad von Apple eröffnet gerade Unternehmen neue Kommunikationswege. Die Autoren liefern Vorschläge, wie man die Apple-Bedienphilosophie und Applikationen (kurz Apps) in Verbindung mit dem iPad…

Apple's iPad im Enterprise-Einsatz

E-Book Apple's iPad im Enterprise-Einsatz
Einsatzmöglichkeiten, Programmierung, Betrieb und Sicherheit im Unternehmen Format: PDF

Der iPad von Apple eröffnet gerade Unternehmen neue Kommunikationswege. Die Autoren liefern Vorschläge, wie man die Apple-Bedienphilosophie und Applikationen (kurz Apps) in Verbindung mit dem iPad…

Apple's iPad im Enterprise-Einsatz

E-Book Apple's iPad im Enterprise-Einsatz
Einsatzmöglichkeiten, Programmierung, Betrieb und Sicherheit im Unternehmen Format: PDF

Der iPad von Apple eröffnet gerade Unternehmen neue Kommunikationswege. Die Autoren liefern Vorschläge, wie man die Apple-Bedienphilosophie und Applikationen (kurz Apps) in Verbindung mit dem iPad…

Apple's iPad im Enterprise-Einsatz

E-Book Apple's iPad im Enterprise-Einsatz
Einsatzmöglichkeiten, Programmierung, Betrieb und Sicherheit im Unternehmen Format: PDF

Der iPad von Apple eröffnet gerade Unternehmen neue Kommunikationswege. Die Autoren liefern Vorschläge, wie man die Apple-Bedienphilosophie und Applikationen (kurz Apps) in Verbindung mit dem iPad…

Office 2011 für Mac Praxisbuch

E-Book Office 2011 für Mac Praxisbuch
Excel - Word - PowerPoint - Outlook Format: PDF

Mit Office 2011 für Mac ist das neue Office-Bedienkonzept von Microsoft endlich auch auf dem Mac angekommen. Wer von älteren Mac-Office- Versionen oder anderen Programmen auf Office 2011 umsteigt,…

Weitere Zeitschriften

AUTOCAD Magazin

AUTOCAD Magazin

Die herstellerunabhängige Fachzeitschrift wendet sich an alle Anwender und Entscheider, die mit Softwarelösungen von Autodesk arbeiten. Das Magazin gibt praktische ...

Baumarkt

Baumarkt

Baumarkt enthält eine ausführliche jährliche Konjunkturanalyse des deutschen Baumarktes und stellt die wichtigsten Ergebnisse des abgelaufenen Baujahres in vielen Zahlen und Fakten zusammen. Auf ...

Computerwoche

Computerwoche

Die COMPUTERWOCHE berichtet schnell und detailliert über alle Belange der Informations- und Kommunikationstechnik in Unternehmen – über Trends, neue Technologien, Produkte und Märkte. IT-Manager ...

DER PRAKTIKER

DER PRAKTIKER

Technische Fachzeitschrift aus der Praxis für die Praxis in allen Bereichen des Handwerks und der Industrie. “der praktiker“ ist die Fachzeitschrift für alle Bereiche der fügetechnischen ...

Deutsche Tennis Zeitung

Deutsche Tennis Zeitung

Die DTZ – Deutsche Tennis Zeitung bietet Informationen aus allen Bereichen der deutschen Tennisszene –sie präsentiert sportliche Highlights, analysiert Entwicklungen und erläutert ...

building & automation

building & automation

Das Fachmagazin building & automation bietet dem Elektrohandwerker und Elektroplaner eine umfassende Übersicht über alle Produktneuheiten aus der Gebäudeautomation, der Installationstechnik, dem ...