Jens Dutzis Life

Die Apple-Gemeinde jubelt — für das aktuelle iPads sowie allen iPhone Varianten (inklusive dem neuen iPhone4) ist seit gestern wieder ein Jailbreak möglich. Der Jailbreak-Vorgang ist dabei so einfach wie noch nie. Es genügt ein einzelner Aufruf der Webseite http://jailbreakme.com direkt mit dem Mobile-Safari des Geräts und nach wenigen Minuten sieht man bereits auf seinem Springboard das berühmt-berüchtigte Cydia-Icon.

Während sich die iPhone/iPad und iPod Nutzer in den verschiedenen Foren über die neue Möglichkeiten erfreuen, welche seit kurzem zumindest in den USA auch für legal erklärt wurden, so stellen sich für mich durchaus einige andere Fragen im Zusammenhang mit dem neusten Jailbreak-„Hack” (STAR Jailbreak).

Wie zur Hölle ist das überhaupt möglich?

Noch einmal zurück zum Anfang. Wenn man sich einmal überlegt was genau passiert, so wird einem doch ganz mulmig. Es besteht die Möglichkeit beim aufrufen einer einfachen Internetseite beliebige Daten innerhalb des iOS zu verändern. Dabei wird der Benutzer weder darüber informiert, noch verhindert das Rechte-System den Zugriff auf Daten, dessen Zugriffsrechte eigentlich jeglichen Zugriff ohne des Root-Zugangs (=Administrator) verhindern sollten. Wobei im Orginal-Zustand der Nutzer des iPads/iPhones eigentlich keine Möglichkeit haben sollte die Administrator-Rechte zu erlangen.

Das muss man sich einmal auf der Zunge zergehen lassen. Das ganze ist, als wenn Sie einfach über einen Nicht-Administrator Account auf ihrem Rechner im Internet surfen und plötzlich wird eine für normale Nutzer gesperrte Systemdatei ausgetauscht und durch einen Trojaner ersetzt. Dabei findet das ganze ohne die geringste Rückmeldung an den Nutzer komplett im Hintergrund statt.

Die Gefahr durch die Sicherheitslücke erreicht ein Level, was höher eigentlich schon fast nicht mehr sein kann. Man überlege sich nur folgendes. Man surft einfach so durch das Internet auf eine beliebige Seite. Die Seite liefert wiederum über den Werbevermarkter neben einem Banner einen Code aus, der auf dem iPhone ein Botnet installiert. Das Botnet wiederum fängt an zum Beispiel Spammails zu versenden oder startet einen Angriff gegen einen Internet-Server. Der dabei entstehende Traffic ist wahnsinnig und je nach Mobilfunkvertrag kann das den Nutzer in den finanziellen Ruin treiben. Außerdem ist gerade das iPhone durch seine ständige Verbindung mit dem Internet eine optimale Plattform für einen Botnet-Client.

Das ganze ist kein durchgedrehtes SciFi Szenario, welches vielleicht einmal in vielen Jahren passieren kann, sondern mit der neuen Lücke absolut realistisch. Die Details zur Lücke wurden bereits veröffentlicht und theoretisch kann es jeder halbwegs professionelle Angreifer für seine Zwecke entsprechend modifizieren.

Für alle die sich dafür interessieren wo sich die Lücke genau befindet, hier noch ein paar technische Details. Die Lücke selber befindet sich augenscheinlich nicht direkt im Safari-Browser, sondern im dort angebundenen PDF Processor. Dies ist vereinfacht ausgedrückt ein BrowserAddOn für die Darstellung von PDF Dateien. Beim aufrufen der Webseite passiert also nichts anderes, als mittels Javascript abhängig vom Modell des Geräts eine manipulierte PDF Datei zu öffnen und schon ist der Supergau passiert. An die PDF Dateien wiederum kommt jeder, der etwas Ahnung von Javascript hat und sich die oben genannten Seite anschaut.

Damit ist die Nächste Runde des Katz– und Mausspiels wieder eröffnet. Der nächste Zug jedenfalls liegt an Apple — von daher, Steve Jobs, übernehmen Sie …

Update / 03.08.2010 15:30:

Der nächste Schritt kam nicht direkt von Apple, sondern von einem unabhängigen Software-Entwickler. Es wurde ein Programm entwickelt, welches vor dem öffnen einer PDF Datei den Nutzer warnt, sodass er den Ladevorgang notfalls unterbinden kann. Die Software ist erhältlich im Blog auf benm.at. Leider kann allerdings die Software nur verwendet werden, wenn das Gerät per Jailbreak für fremde Anwendungen freigegeben wurde. Nutzer eines nicht modifizierten iPhones/iPods/iPads können auf dieses kleine Tool leider nicht zurückgreifen.

Man muss allerdings auch deutlich sagen, dass es sich bei dem Tool um kein Bugfix für die Sicherheitslücke darstellt. Es verhindert ausschließlich das ungewollte öffnen von PDF Dateien über den Safari-Browser. Bestätigt man das öffnen einer infizierten PDF Datei, so kann dennoch das Gerät angegriffen werden.

Heute war es soweit — rechtzeitig zum Halbfinal-Spiel der deutschen Nationalmannschaft. Heute nachmittag kam der lang ersehnte Anruf aus dem  Telekomladen im naheliegenden Bruchsal. Mein neues iPhone im Rahmen der Vertragslängerung lag also nach (überraschend) kurzer Wartezeit also bereit.

Ich denke, ich brauche nicht erwähnen, dass ich relativ schnell in Bruchsal war und die Vertragsverlängerung durchfürte. Alles lief wirklich problematisch und die Mitarbeiter waren passend zum heutigen Tage auch alle mit einem Deutschland-Trikot ausgestattet.

Wie bereits zu erwarten war, wurde eine kleine Gebühr fällig da ich etwas vor Ablauf der Vertragslaufzeit verlängert habe — aber die war akzeptabel. Wenig überraschend war auch, dass mein Complete-Tarif der ersten Generation nicht übernommen werden konnte und ein aktueller Vertrag pflicht wurde. Das ist für alle die ein 500MB-Tarif direkt am Anfang abgeschlossen hatten natürlich suboptimal. Aber für mich war der Unterschied zwischem alten– und neuen Vertrag weniger problematisch.

Auf dem Rückweg zum Auto konnte ich übrigens eine interessante Beobachtung machen. Direkt an der gleichen Ecke wie der Telekom-Laden findet sich auch Debitel, O² und Vodafone. Während der Telekom-Laden doch ziemlich gut besucht war und auch mehrere Mitarbeiter in Kundengespräche führten sah das Bild in den anderen Läden dagegen komplett anders aus. Bei Debitel war nur nur ein Mitarbeiter im Laden und bei O² fand sich genau ein Kunde. Bei Vodafone sah es auch nicht anders aus, da ich nur eine Person sah die an einem Regal arbeitete und vermutlich ein Mitarbeiter war.

Übrigens bevor ich vor den Fernseher gehen — soeben kam auch von Apple die Freigabe für den Mobilen MwSt-Rechner 2.0. Innerhalb von 24h dürfte er nur im AppStore zu finden sein. Nächster Schritt daher morgen: Beschreibung im Appstore für die neue Version anpassen.

Bevor ich zu dem Screenshots für die neuste Version der MwSt-App komme, möchte ich einmal ein paar kleine Reviews zeigen für die bisherige Version des Tools.

Das sicherlich interessanteste Review ist von stern.de. Dort wurde die App in einem Artikel über kostenlose Apps die man unbedingt speichern sollte direkt als erstes vorgestellt. Eine kleine Sensation

Aber auch die Bewertungen im AppStore selber sind sehenswert. Dort haben 17 Nutzer die App mit  4 von 5 möglichen Punkten bewertet und zwischenzeitlich war die App auch auf Platz 3 der Finanz-Apps im deutschen App-Store. Danke!

Um noch zwei Reviews zu zitieren aus dem AppStore:

Das beste Hilfsmittel für die tägliche Arbeit im Büro. Danke

Endlich wieder ein gutes kostenloses MwSt App!! 1a! Genau auf so etwas habe ich die letzten Monate gewartet bin auf die Updates gespannt. Weiter so

Aber nun gleich zur neusten Version, für die nur noch ein paar Feinarbeiten benötigt wird. Die neue Version wird einige Neuerungen und Bugfixes beinhalten. Wer übriges Interesse hat neue Versionen der App zu testen, der kann sich gerne direkt an mich über das Kontaktformular wenden.

weiter lesen

Wie das Online-Magazin Apfelnews berichtet, bietet die Supermarktkette Real in der kommenden Woche (21. — 26. Juni), passend zu Start des iPhone 4, eine interessante Aktion an. Die für den iTunes Store angebotenen Gutscheinkarten werden von der Supermarktkette während des Aktionszeitraums 20% günstiger als der übliche Verkaufspreis verkauft. Eine 25 Eur Gutscheinkarte kann beim Real zum Beispiel für 20 Eur erworben werden.

Mit dem Kauf einer solchen Gutscheinkarte kann das eigene iTunes Konto mittels eines aufgedruckten Codes um den Gutschein-Betrag aufgeladen werden. Das Guthaben kann im Anschluss für alle Bereiche im iTunes Store verwendet werden. Damit ist es möglich Apps, Musik, Filme usw. deutlich günstiger zu erwerben.

Also am besten gleich am Montag zur nächsten Real-Filiale, denn bisher war es bei solchen Aktionen so, dass die Gutscheinkarten relativ schnell ausverkauft waren.

Nachdem der Mobile MwSt-Rechner seit etwa 3 Tagen für den iTunes Appstore freigegeben wurde muss ich sagen, dass ich doch überrascht bin über die Download-Zahlen der Anwendungen und die doch überwiegend positive Resonanz. Ich hätte nicht gedacht, dass ich so schnell mit dem App in die Top 25 der am meisten geladenen Finanz-Anwendungen einziehe.

Mir bleibt echt nur zu sagen:
Danke!

Wie geht die Entwicklung der App weiter?

Gestern wurde von mir ein erstes Update zum Review durch Apple in den iTunes Store geladen. Das Update selber korrigiert unter anderem ein kleiner Fehler der auftritt, wenn eine 4-stellige Zahl als Nettosumme eingegeben und im Anschluss der Mwst-Satz gewechselt wurde. Dabei wird der Netto-Betrag erneut formatiert und dies führte zum Verlust einiger Stellen.

Zusätzlich zur Fehlerkorrektur wurde auch gleich eine neue Funktion eingebaut. In einer Rückmeldung kam die Frage ob es eine Möglichkeit gibt den Rechner wieder auf Null zurück zu stellen. Die Frage war durchaus interessant, da eine solche Funktion noch nicht existierte. Die neuste Version bekam daher eine kleine Neuerung, die ich intern gerne „Shake-to-tilt” nenne. Vielleicht kennt ihr noch die alten Flippergeräte die sich auf Null zurückstellten, wenn man etwas am Flipperkasten gerüttelt hatte oder ihn versuchte durch leichtes kippen zu manipulieren. Etwas ähnliches wird nun mit dem kommenden Update eingeführt werden. Schüttelt man das Gerät, dann werden alle Eingaben im Rechner gelöscht und auf 0 zurückgestellt. Meiner Meinung nach eine witzige und durchaus effektive Lösung zum zurücksetzen des Rechners.

Auch intern hat sich im App nochmal einiges geändert. Der komplette Quellcode wurde von mir nochmals überarbeitet und für das neue iOS4 vorbereitet. Die Anwendung sollte damit auch für die Zukunft gerüstet sein. Weitere Änderungen betreffen auch langfristig geplante Änderungen am App. Eine der geplanten Änderungen ist unter anderem eine eigenständige Oberfläche für den iPad. Aufgrund der frühen Planungsphase, möchte ich noch nicht viel mehr über die geplanten Neuerungen posten.

Wann das Update zum offiziellen Download bereitgestellt wird, liegt erneut wieder an Apple. Allerdings sollte es, sofern man keine Einwände findet, dies innerhalb der nächsten 5 Tagen der Fall sein.

Wie Ihr seht, ist einiges geplant für die Zukunft. Eine Bitte hätte ich allerdings noch an euch. Falls euch die Anwendung gefällt wäre es nett, wenn ihr eine kleine Bewertung im iTunes Store hinterlässt. Falls Ihr Vorschläge oder irgendwelche Fragen zum Mobilen Mwst-Rechner habt könnt ihr euch auch gerne über das Kontaktformular direkt an mich wenden.

Vor etwa einem Monat habe ich hier schon einmal erwähnt, dass ich mich an einem ersten iPhone App versuche. Mittlerweile sind aus den ersten Ideen eine erste Version geworden die bereit für den Apple iPhone App-Store ist. Mittlerweile nach einigen kämpfen mit Objective-C und Xcode ist die erste Version soweit, dass sie an Apple zur Prüfung von mir übergeben wurde.

Ob und wann das App eine Zulassung bekommen wird für den Appstore kann ich noch nicht genau sagen. Normalerweise werden laut Apple 98% der neu eingereichten Apps innerhalb von 7 Tagen geprüft. Also Daumen drücken, dass es etwas wird. Wird das App zugelassen, werde ich es natürlich sofort hier bloggen

Zwischenzeitlich einmal ein paar Bilder vom App:

Mein Dank gilt übrigens im Zusammenhang mit dem App auch an Dennis Klein, denn ohne Ihn wäre das ansprechende Logo und der Splashscreen absolut nicht möglich gewesen.

Das App selber wird übrigens, sofern es zugelassen wird, kostenlos im AppStore bereit stehen und es existieren auch schon einige Ideen für eventuelle Updates. Aber wie gesagt, erst einmal muss die Version die Hürden von Apple meistern…

Wow, ich hätte wirklich nicht darauf getippt, dass Apple über seinen eigenen Schatten springt. Im Februar dieses Jahres hatt Opera auf einer Messe überraschend mitgeteilt, dass man versuchen wolle Opera Mini auch auf dem iPhone anzubieten und dies obwohl Apple die Zulassungen von Anwendungen an strenge Bedienungen knüpft.

Vor wenigen Tagen war es nun soweit und Opera hatte seine iPhone Version an Apple zur Freigabe im AppStore übermittelt zusammen mit einer kleinen PR Aktion im Internet … und die iPhone Nutzer warteten.

Viele tippten darauf, dass Apple einen alternativen Browser nicht zulassen wird mit einem Verweis darauf, dass man zum Beispiel eine nicht dokumentierte Schnittstelle verwendet hätte.

Aber überraschenderweise kam es komplett anders. Heute berichtete zum Beispiel Golem, dass Apple den Konkurenzbrowser für den AppStore freigegeben hat. Der Browser kann nun kostenlos über den AppStore installiert werden.

Erste Tests auf meinem iPhone 3G zeigten, dass der Browser definitiv das Potential hat Safari von seinem prominenten Platz auf dem Springboard zu verbannen. Während Safari zwar ein Tick schneller startet, so spielt Opera nach dem Start seine Vorteile aus. Die Geschwindigkeit, mit der Opera Mini die Seiten darstellt ist absolut beeindruckend und lässt Safari zum Teil selbst beim neuen iPhone OS4 alt aussehen. Dies liegt unter anderem daran, dass die Seiten über einen speziellen Proxy von Opera geleitet wird welcher die abgerufenen Seiten entsprechend optimiert. Das wechseln zwischen den einzelnen Tabs geht wirklich gut von der Hand und ist klasse gelöst. Die üblichen Gesten für Zoom etc. sind identisch zum Safari, sodass die Bedienung praktisch keine Umstellung bedeutet.

Es gibt allerdings auch ein paar Nachteile. Im Vollbild-Modus kann man im Gegensatz zum Safari nicht direkt zum Seitenanfang fahren, indem man auf das obere Teil des Displays tippt. Tippt man eine URL etwas länger an, so besteht im Safari die Möglichkeit die URL per eMail zu versenden. Im Opera Mini fehlt diese Funktion. Was ebenso im Opera Mini fehlt ist zum Beispiel die Unterstützung von Location-Based Services in WebApps. Zu dieser Gruppe von Anwendungen gehört unter anderem Google Latitude, aber auch die Mobile Version von dein-ip-check.de.

Als Fazit kann man nur sagen, dass die Entscheidung von Apple durchaus positiv gewertet werden kann und man kann nur hoffen, dass Apple sein Entscheidungsprozess vielleicht überdacht hat. Für den Endanwender ist der alternative Browser auf jeden Fall ein Blick wert, denn die erwähnten Nachteile dürften in vielen Fällen nur eine geringe Rolle spielen.

Vor etwa einem Jahr erwähnte ich hier im Blog einige iPhone Apps welche für Server-Administratoren durchaus von Interesse sind. Innerhalb eines Jahres ändert sich natürlich einiges und da ist es eigentlich nur verständlich, dass ich heute einige neue Anwendungen empfehlen würde. Es gibt allerdings auch Anwendungen, die eine solche negative Entwicklung durchgemacht haben, dass ich heute diese dagegen nicht mehr empfehlen würde wäre zum Beispiel TouchTerm.

An sich handelt es sich bei Touchterm um einen relativ brauchbaren SSH Client, welchen man zur Fernwartung von Servern verwenden kann. Ein Standard-Programm für Sysadmins. Obwohl es sich um eine kostenpflichtige Anwendung handelt, meinte der Hersteller diese unbedingt mit PinchMedia Spyware versehen zu müssen.

Klar, ich kann einerseits verstehen, dass jemand eine Statistik darüber möchte in wieweit sein Programm als Raubkopie unterwegs ist und generell sind Nutzerzahlen natürlich von Interesse. Allerdings geht einfach meiner Meinung nach der Weg den PinchMedia geht einfach zu weit.  Gerade von einer kommerziellen Anwendung sollte man eigentlich davon ausgehen können, dass diese ohne solche „Statistik”-Tools auskommen.

Aber nun zu den Programmen, welche ich euch im Bereich Systemadministration dringend empfehlen möchte. Einige Programme sind neu, andere dagegen sind alte Bekannte.

weiter lesen

Normalerweise geht man ja davon aus, dass man Anwendungen, die einem vom Hersteller eines Handy geschenkt werden, auch bedenkenlos verwendet werden können. Aber zurück zum Anfang. Seit einigen Tagen verschenkt Apple an seine Kunden im 12 Tage lang zum Jahreswechsel ein Gratis-Produkt aus dem eigenen iTunes Store. Dabei handelte es sich nicht nur um Lieder oder Videos, sondern auch um Apps für den iPod Touch und dem iPhone.

Die erste Anwendung war von EA und Hasbro das Spiel Trivial Pursuite und heute das relativ bekannte Spiel Labyrinth. Bei letzterem gingen allerdings bei mir schon die Alarmglocken los. Labyrinth, war da nicht etwas mit der Lite-Version der Software?

Als ich es installiert hatte und hier innerhalb meines Wlan Netzes gestartet hab, machte ich als Kurztest ein Blick in die Firewall Logfiles. Schon irgendwie überrascht war ich, als ich folgende Einträge sehen konnte:

Jan  2 12:50:17 ipgate ulogd[1265]: OUTGOINGFW:DROP:11 IN=br0 OUT=eth0 MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=192.168.0.xxx DST=67.221.231.147 LEN=64 TOS=00 PREC=0x00 TTL=63 ID=12551 DF PROTO=KEY_TCP SPT=51013 DPT=80 SEQ=2850346608 ACK=0 WINDOW=65535 SYN URGP=0

Die IP ist auch bekannt unter dem Hostname beacon.pinchmedia.com welche bei mir zumindest im Router geblockt wird.

Also schaute ich nochmal etwas genauer in mein Anwendungsverzeichnis und prüfte die von mir neu geladenen Apps nach den typischen Pinchmedia Code-Bestandteilen “libPinchAnalytics” und “libPMAnalytics”. Dabei fand ich überraschenderweise gleich zwei Treffer:

Bei den beiden Apps handelt es sich ausgerechnet um diejenigen, die Apple innerhalb der letzten paar Tage verschenkte.

In beiden Anwendungen kann man erkennen, dass Code-Bestandteile von Pinchmedia vorhanden sind. Bei einem genaueren Blick ist mir allerdings aufgefallen, dass augenscheinlich nur Labyrinth eine Verbindung zu der bekannten IP Adresse von Pinchmedia aufgebaut hat. Trivial Pursuite selber baute dagegen zumindest bei meinem Test-Start keine Verbindung zu dieser Adresse auf.

Klar kann man daher sagen, dass Labyrinth zumindest zu den “typischen” Anwendungen mit Pinchmedia Spyware gehört. Bei Trivial Pursuite dagegen kann man es nicht genau sagen. Es gibt zwar Anhaltspunkte hierfür, aber solange man nicht den Datenstrom ins Internet untersucht, wozu ich aktuell noch keine Zeit hatte, so kann man es nicht mit Sicherheit sagen. Da allerdings Pinchmedia, wie bereits erwähnt, auch weitere IP-Adressen und Hostnamen im Internet betreiben kann und auch der Verbindungsaufbau erst verzögert oder nur bei bestimmten Spielsituationen stattfinden kann, so ist zumindest nicht ausgeschlossen, dass es sich um Spyware handelt.

Im Endeffekt muss hier, wie bereits im letzten Artikel über Pinchmedia erwähnt, jeder selber entscheiden was er von solchen Anwendungen hält. Ich für meinen Teil habe beide Apps wieder von meinem iPhone entfernt, auch wenn beides doch recht interessante und kurzweilige Anwendungen waren.