Skip to content

Es ist da: Mein Buch "iOS Security - Sichere Apps für iPhone und iPad"

Ich habe gestern die Belegexemplare meines neuen Buchs "iOS Security - Sichere Apps für iPhone und iPad" bekommen, ab sofort ist es auch im Buchhandel erhältlich (sowohl gedruckt als auch als eBook). Den Inhalt kenne ich ja schon etwas länger, trotzdem ist es etwas ganz anderes, das fertige Buch in Händen zu halten. Schön ist es geworden. :-)

Worum geht es? Wie schon der Untertitel verrät um die Entwicklung sicherer Apps für iOS-Geräte, also iPhone und iPad (und was Apple sich sonst noch so ausdenken wird natürlich auch).

iOS ist doch sowieso sicher?

Apple betont zwar gerne, wie sicher iOS und der AppStore sind, und in der Tat haben es bisher kaum wirklich schädliche Apps bis in den AppStore geschafft, aber das ist nur die eine Seite der Medaille. Unter Windows wird Schadsoftware überwiegend über Drive-by-Infektionen verbreitet, und unter Mac OS X hat Flashback bereits bewiesen, dass das System vor solchen Angriffen nicht sicher ist. Und für iOS haben zum einen etliche Proof-of-Concepts im Rahmen der Pwn2Own-Wettbewerbe und zum anderen JailbreakMe.com bewiesen, dass Drive-by-Infektionen möglich sind. Es ist also eher früher als später mit solchen Angriffen zu rechnen.

Eigentlich ist es ein Wunder, dass es die nicht schon längst gibt. Es ist schließlich die einzige Möglichkeit, iOS-Geräte ohne Jailbreak mit Schadsoftware zu infizieren. Bei Geräten mit Jailbreak können die Cyberkriminellen ja auf Trojaner-Apps setzen, ohne Jailbreak können aber nur Apps aus dem AppStore installiert werden, und da bekommen die Cyberkriminellen ihre Schadprogramme nur mit großer Mühe rein (und die werden beim Entdecken der Schadfunktionen sofort wieder gelöscht).

Die Sicherheit der iOS-Geräte ist also nicht nur von der Sicherheit von iOS und AppStore, sondern auch von der Sicherheit jeder einzelnen App abhängig. Die Sandbox beschränkt mögliche Angriffe zwar erst mal auf den Bereich der angegriffenen App, sie ist aber auch nicht unüberwindlich. Der beste Beweis dafür sind die Jailbreaks, bei denen ja Code mit root-Rechten ausgeführt werden muss. Und je nach App ist ein erfolgreicher Angriff, auch wenn er auf deren Sandbox beschränkt ist, schon schlimm genug. Jeder Entwickler sollte also schon in seinem eigenen Interesse darauf achten, dass seine App sicher ist und keine Schwachstellen enthält.

Was steht drin?

Aber kommen wir zum Inhalt des Buchs: Los geht es mit einer Beschreibung der bisher erfolgten Angriffe. "In the Wild" gibt es bisher kaum welche, dafür etliche Untersuchungen samt Proof-of-Concepts der Sicherheitsforscher. Und jeder Jailbreak ist im Grunde ja auch ein Angriff, wenn auch einer durch den Benutzer selbst. Auf diese Einführung in die Angriffe folgt eine Beschreibung der Schutzmaßnahmen von iOS und wie man sie verwendet, also quasi die Verteidigung gegen die zuvor beschriebenen Angriffe. Weiter geht es mit der Beschreibung eines sicheren Entwicklungszyklus, gefolgt von Beschreibungen typischer Schwachstellen und wie man sie verhindert sowie der passenden Schutzmaßnahmen.

Wer soll es lesen?

An wen richtet sich das Buch? Primär an alle Entwickler von iOS-Apps, außerdem an alle, die sich aus welchen Gründen auch immer sonst noch für die sichere Entwicklung von iOS-Apps interessieren. Programmieren sollten die Leser bereits können (jedenfalls wenn sie Apps entwickeln wollen), ich habe mich auf die Sicherheitsaspekte beschränkt. Es gibt auch nur relativ wenige Code-Beispiele, statt dessen habe ich mich auf die Grundlagen konzentriert. Die sollte jeder Entwickler dann selbst umsetzen können, und das unabhängig von einer bestimmten Implementierung. Durch diesen Ansatz sollte das Buch deutlich länger aktuell bleiben als wenn ich mich auf eine bestimmte iOS- und XCode-Version beschränkt hätte. Denn Sie wissen ja: Nichts ist so überflüssig wie ein Beispiel für ein veraltetes API oder System.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Neues zur iOS-Sicherheit, bösartigen E-Mails und Überwachungsmöglichkeiten

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Los geht es mit einem Hinweis auf eine Diskussion im Blog von Bruce Schneier: Ist die "GOTO FAIL"-Lücke in iOS und Mac OS X Mavericks ein Fehler oder eine absichtliche Hintertü