Jens Dutzis Life

Die Apple-Gemeinde jubelt — für das aktuelle iPads sowie allen iPhone Varianten (inklusive dem neuen iPhone4) ist seit gestern wieder ein Jailbreak möglich. Der Jailbreak-Vorgang ist dabei so einfach wie noch nie. Es genügt ein einzelner Aufruf der Webseite http://jailbreakme.com direkt mit dem Mobile-Safari des Geräts und nach wenigen Minuten sieht man bereits auf seinem Springboard das berühmt-berüchtigte Cydia-Icon.

Während sich die iPhone/iPad und iPod Nutzer in den verschiedenen Foren über die neue Möglichkeiten erfreuen, welche seit kurzem zumindest in den USA auch für legal erklärt wurden, so stellen sich für mich durchaus einige andere Fragen im Zusammenhang mit dem neusten Jailbreak-„Hack” (STAR Jailbreak).

Wie zur Hölle ist das überhaupt möglich?

Noch einmal zurück zum Anfang. Wenn man sich einmal überlegt was genau passiert, so wird einem doch ganz mulmig. Es besteht die Möglichkeit beim aufrufen einer einfachen Internetseite beliebige Daten innerhalb des iOS zu verändern. Dabei wird der Benutzer weder darüber informiert, noch verhindert das Rechte-System den Zugriff auf Daten, dessen Zugriffsrechte eigentlich jeglichen Zugriff ohne des Root-Zugangs (=Administrator) verhindern sollten. Wobei im Orginal-Zustand der Nutzer des iPads/iPhones eigentlich keine Möglichkeit haben sollte die Administrator-Rechte zu erlangen.

Das muss man sich einmal auf der Zunge zergehen lassen. Das ganze ist, als wenn Sie einfach über einen Nicht-Administrator Account auf ihrem Rechner im Internet surfen und plötzlich wird eine für normale Nutzer gesperrte Systemdatei ausgetauscht und durch einen Trojaner ersetzt. Dabei findet das ganze ohne die geringste Rückmeldung an den Nutzer komplett im Hintergrund statt.

Die Gefahr durch die Sicherheitslücke erreicht ein Level, was höher eigentlich schon fast nicht mehr sein kann. Man überlege sich nur folgendes. Man surft einfach so durch das Internet auf eine beliebige Seite. Die Seite liefert wiederum über den Werbevermarkter neben einem Banner einen Code aus, der auf dem iPhone ein Botnet installiert. Das Botnet wiederum fängt an zum Beispiel Spammails zu versenden oder startet einen Angriff gegen einen Internet-Server. Der dabei entstehende Traffic ist wahnsinnig und je nach Mobilfunkvertrag kann das den Nutzer in den finanziellen Ruin treiben. Außerdem ist gerade das iPhone durch seine ständige Verbindung mit dem Internet eine optimale Plattform für einen Botnet-Client.

Das ganze ist kein durchgedrehtes SciFi Szenario, welches vielleicht einmal in vielen Jahren passieren kann, sondern mit der neuen Lücke absolut realistisch. Die Details zur Lücke wurden bereits veröffentlicht und theoretisch kann es jeder halbwegs professionelle Angreifer für seine Zwecke entsprechend modifizieren.

Für alle die sich dafür interessieren wo sich die Lücke genau befindet, hier noch ein paar technische Details. Die Lücke selber befindet sich augenscheinlich nicht direkt im Safari-Browser, sondern im dort angebundenen PDF Processor. Dies ist vereinfacht ausgedrückt ein BrowserAddOn für die Darstellung von PDF Dateien. Beim aufrufen der Webseite passiert also nichts anderes, als mittels Javascript abhängig vom Modell des Geräts eine manipulierte PDF Datei zu öffnen und schon ist der Supergau passiert. An die PDF Dateien wiederum kommt jeder, der etwas Ahnung von Javascript hat und sich die oben genannten Seite anschaut.

Damit ist die Nächste Runde des Katz– und Mausspiels wieder eröffnet. Der nächste Zug jedenfalls liegt an Apple — von daher, Steve Jobs, übernehmen Sie …

Update / 03.08.2010 15:30:

Der nächste Schritt kam nicht direkt von Apple, sondern von einem unabhängigen Software-Entwickler. Es wurde ein Programm entwickelt, welches vor dem öffnen einer PDF Datei den Nutzer warnt, sodass er den Ladevorgang notfalls unterbinden kann. Die Software ist erhältlich im Blog auf benm.at. Leider kann allerdings die Software nur verwendet werden, wenn das Gerät per Jailbreak für fremde Anwendungen freigegeben wurde. Nutzer eines nicht modifizierten iPhones/iPods/iPads können auf dieses kleine Tool leider nicht zurückgreifen.

Man muss allerdings auch deutlich sagen, dass es sich bei dem Tool um kein Bugfix für die Sicherheitslücke darstellt. Es verhindert ausschließlich das ungewollte öffnen von PDF Dateien über den Safari-Browser. Bestätigt man das öffnen einer infizierten PDF Datei, so kann dennoch das Gerät angegriffen werden.

Bevor ich zu dem Screenshots für die neuste Version der MwSt-App komme, möchte ich einmal ein paar kleine Reviews zeigen für die bisherige Version des Tools.

Das sicherlich interessanteste Review ist von stern.de. Dort wurde die App in einem Artikel über kostenlose Apps die man unbedingt speichern sollte direkt als erstes vorgestellt. Eine kleine Sensation

Aber auch die Bewertungen im AppStore selber sind sehenswert. Dort haben 17 Nutzer die App mit  4 von 5 möglichen Punkten bewertet und zwischenzeitlich war die App auch auf Platz 3 der Finanz-Apps im deutschen App-Store. Danke!

Um noch zwei Reviews zu zitieren aus dem AppStore:

Das beste Hilfsmittel für die tägliche Arbeit im Büro. Danke

Endlich wieder ein gutes kostenloses MwSt App!! 1a! Genau auf so etwas habe ich die letzten Monate gewartet bin auf die Updates gespannt. Weiter so

Aber nun gleich zur neusten Version, für die nur noch ein paar Feinarbeiten benötigt wird. Die neue Version wird einige Neuerungen und Bugfixes beinhalten. Wer übriges Interesse hat neue Versionen der App zu testen, der kann sich gerne direkt an mich über das Kontaktformular wenden.

weiter lesen

Nachdem der Mobile MwSt-Rechner seit etwa 3 Tagen für den iTunes Appstore freigegeben wurde muss ich sagen, dass ich doch überrascht bin über die Download-Zahlen der Anwendungen und die doch überwiegend positive Resonanz. Ich hätte nicht gedacht, dass ich so schnell mit dem App in die Top 25 der am meisten geladenen Finanz-Anwendungen einziehe.

Mir bleibt echt nur zu sagen:
Danke!

Wie geht die Entwicklung der App weiter?

Gestern wurde von mir ein erstes Update zum Review durch Apple in den iTunes Store geladen. Das Update selber korrigiert unter anderem ein kleiner Fehler der auftritt, wenn eine 4-stellige Zahl als Nettosumme eingegeben und im Anschluss der Mwst-Satz gewechselt wurde. Dabei wird der Netto-Betrag erneut formatiert und dies führte zum Verlust einiger Stellen.

Zusätzlich zur Fehlerkorrektur wurde auch gleich eine neue Funktion eingebaut. In einer Rückmeldung kam die Frage ob es eine Möglichkeit gibt den Rechner wieder auf Null zurück zu stellen. Die Frage war durchaus interessant, da eine solche Funktion noch nicht existierte. Die neuste Version bekam daher eine kleine Neuerung, die ich intern gerne „Shake-to-tilt” nenne. Vielleicht kennt ihr noch die alten Flippergeräte die sich auf Null zurückstellten, wenn man etwas am Flipperkasten gerüttelt hatte oder ihn versuchte durch leichtes kippen zu manipulieren. Etwas ähnliches wird nun mit dem kommenden Update eingeführt werden. Schüttelt man das Gerät, dann werden alle Eingaben im Rechner gelöscht und auf 0 zurückgestellt. Meiner Meinung nach eine witzige und durchaus effektive Lösung zum zurücksetzen des Rechners.

Auch intern hat sich im App nochmal einiges geändert. Der komplette Quellcode wurde von mir nochmals überarbeitet und für das neue iOS4 vorbereitet. Die Anwendung sollte damit auch für die Zukunft gerüstet sein. Weitere Änderungen betreffen auch langfristig geplante Änderungen am App. Eine der geplanten Änderungen ist unter anderem eine eigenständige Oberfläche für den iPad. Aufgrund der frühen Planungsphase, möchte ich noch nicht viel mehr über die geplanten Neuerungen posten.

Wann das Update zum offiziellen Download bereitgestellt wird, liegt erneut wieder an Apple. Allerdings sollte es, sofern man keine Einwände findet, dies innerhalb der nächsten 5 Tagen der Fall sein.

Wie Ihr seht, ist einiges geplant für die Zukunft. Eine Bitte hätte ich allerdings noch an euch. Falls euch die Anwendung gefällt wäre es nett, wenn ihr eine kleine Bewertung im iTunes Store hinterlässt. Falls Ihr Vorschläge oder irgendwelche Fragen zum Mobilen Mwst-Rechner habt könnt ihr euch auch gerne über das Kontaktformular direkt an mich wenden.

Vor etwa einem Monat habe ich hier schon einmal erwähnt, dass ich mich an einem ersten iPhone App versuche. Mittlerweile sind aus den ersten Ideen eine erste Version geworden die bereit für den Apple iPhone App-Store ist. Mittlerweile nach einigen kämpfen mit Objective-C und Xcode ist die erste Version soweit, dass sie an Apple zur Prüfung von mir übergeben wurde.

Ob und wann das App eine Zulassung bekommen wird für den Appstore kann ich noch nicht genau sagen. Normalerweise werden laut Apple 98% der neu eingereichten Apps innerhalb von 7 Tagen geprüft. Also Daumen drücken, dass es etwas wird. Wird das App zugelassen, werde ich es natürlich sofort hier bloggen

Zwischenzeitlich einmal ein paar Bilder vom App:

Mein Dank gilt übrigens im Zusammenhang mit dem App auch an Dennis Klein, denn ohne Ihn wäre das ansprechende Logo und der Splashscreen absolut nicht möglich gewesen.

Das App selber wird übrigens, sofern es zugelassen wird, kostenlos im AppStore bereit stehen und es existieren auch schon einige Ideen für eventuelle Updates. Aber wie gesagt, erst einmal muss die Version die Hürden von Apple meistern…

Wie mehrere Online News Quellen berichteten startete Apple heute die erste öffentliche Beta-Version des neuen Browsers Safari 4. Die Beta wurde dabei nicht nur für das hauseigene Betriebssystem MacOS X veröffentlicht, sondern auch für Microsoft Windows.

Nachdem sich die Medien förmlich überschlagen haben was den neuen Funktionsumfang und die Geschwindigkeit angeht, konnte ich es selber nicht erwarten den Browser selber einmal testen zu können.

weiter lesen