Wie immer spannend die Grafiken von asymco.com. Finde ich korrekt von RIM, Apple und HTC, dass sie verkaufte Geräte ausweisen und nicht nur Shipments

Anbei ein kurzer Überblick, was gemäss meinen Beobachtungen neu hinzugekommen ist. Die Policies sind im iPCU in Payloads unterteilt:

Restrictions-Payload:

Gerätefunktionalität:

- Siri erlauben

- Benutzer muss für alle Einkäufe das iTunes Store-Kennwort eingeben (verhindert wohl Apps innerhalb eines gewissen Zeitraums ohne PW-Eingabe zu installieren)

- Game Center Einstellungen: Mehrspielermodus erlauben

- Game Center Einstellungen: Hinzufügen von Game Center-Freunden zulassen.

iCloud

- Backup erlauben

- Synchronisierung von Dokumenten erlauben

- Fotostream erlauben (Nichterlauben kann zu Datenverlust führen, da die im Fotostream gespeicherten Bilder gelöscht werden)

Sicherheits- und Datenschutzrichtlinien erzwingen:

 - Diagnosedaten dürfen an Apple gesendet werden

- Benutzer dürfen nicht vertrauliche TLS-Zertifikate annehmen

- Verschlüsselte Backups erzwingen (Was ich noch nicht getestet habe, ist ob dies auch für die iCloud Backups gilt)

 

VPN-Payload

 - Für alle Daten (Somit kann der ganze Netzverkehr über die VPN-Verbindung geschickt werden, und damit im Unternehmen über einen Proxy kontrolliert werden)

E-Mail Payload

- Bewegen erlauben: Zwingt die Accounts in den Sandbox-Modus (damit werden für viele Anwender Drittlösungen wie ehemals MobileOffice eigentlich obsolet, wenn es lediglich darum geht die E-Mail-Daten in einer Sandbox zu speichern. Verhindert ebenfalls den Abfluss von Informationen ohne diese über einen Server verschicken zu müssen.)

- Gleiche Einstellung auch in Exchange möglich

 - Zusätzlich lassen sich Zertifikate oder SCEP-Settings für die Signierung/Verschlüsselung von Mails definieren.

 

Was nicht direkt im iPCU ersichtlich ist, ist das Verhalten von Anwendungen die über ein MDM verteilt werden. Wir verteilen bspweise eine App die als Quickguide die Services erklärt. Dies aus dem Grund, dass der Anwender das Gerät am MDM provisioniert, und auf diesem Weg direkt die notwendigen Anleitungen erhält. Nun konnte der Anwender die Kontrolle des MDM immer deinstallieren, hatte dann aber auch die Einstellungen und Zertifikate nicht mehr. Somit konnte man verhindern, dass der Anwender weiterhin auf Unternehmensressourcen zugreifen kann, wenn er kein MDM mehr installiert hat. Anders verhielt es sich mit den Applikationen die man verteilt hat. Diese blieben auf dem Gerät. Mit iOS 5 ändert dies nun. Applikationen werden, wenn über MDM verteilt, automatisch zu “managed Applications”. Wenn also die MDM-Kontrolle entfernt wird, werden auch die Applikation und deren Daten gelöscht. Somit könnte man kritischere Applikationen entwickeln und verteilen.

Ben-Itzhak rejects the idea that the vulnerability of computers could be reduced if they were locked down to a restricted set of applications.
The only reason that Operating Systems like Apple’s OS X and iOS haven’t seen much malware is because their limited market share means that it isn’t worth developing the attack tools.

Quelle zdnet

Nun ja. Im Fall von Mac OS X glaube ich das ja sogar auf einer hohen Ebene. Im Fall von iOS sollte der Marktanteil (17% Smartphone; >80% Tablets) doch reichen um einen Angriff lohnend zu machen. Könnte es nicht sein, dass der Genehmigungsprozess von Apple doch ein bisschen zu gut wirkt um es lohnend zu machen Malware zu entwickeln?

Wenn man sich aber für eine MDM-Lösung entscheiden muss, wird es schwierig. Da Apple Standards anbietet, unterscheiden sich die Hersteller auch nicht gross. Eine doch gute Übersicht hat enterpriseios.com

erstellt.

Um diesem Dilemma zu begegnen hat Microsoft diese Woche das “Exchange Activesync Logo Programm” angekündigt. Um mit diesem Logo werben zu können, verpflichten sich Hersteller zur Unterstützung eines Grundsets an Policies die den Einsatz von Mobilgeräten sicher machen. Wenig überraschend ist die Liste der bisher “zertifizierten” EAS Logo Programm Mitglieder:

• Apple iOS 4
• Nokia mit Mail for Exchange
• Windows Phone 7
• Windows Mobile 6.5 (für Industriegeräte zuweilen noch interessant )

Doch wie kommt man zu dem “Gütesiegel”? Gemäss dieser Liste sind folgende Policies zu unterstützen:

1. Must be current EAS licensee –> Eigentlich noch logisch
2. Use EAS v14 or later –> ansonsten könnten die Policies Backendseitig gar nicht gesetzt werden
3. Direct Push email, contacts & calendar –> Qualitätsgrösse für Anwender. Wer will schon manuell synchronisieren im 2011?
4. Accept, Decline & Tentatively Accept meetings –> siehe oben
5. Rich formatted email (HTML) –> txt-e-Mails sind tot! Lang leben Fett und Kursiv um seinem E-Mail Gewicht zu verpassen.
6. Reply/Forward state on email –> Ich will doch wissen ob ich morgens im Halbschlaf eine Mails schon beantwortet habe.
7. GAL Lookup –> Man möchte ja auch Leute adressieren die man nicht im persönlichen Adressbuch hat.
8. Autodiscover –> Auch für den Benutzer bei Ersteinrichtung sehr hilfreich.
9. ABQ strings provided: device type and  device model –> Hier sind speziell die grünen Roboter Geräte nicht sehr gesprächig was die Massnahmen basierend auf OS etwas schwierig gestaltet.
10. Remote Wipe –> Grundvoraussetzung für ein mobiles Gerät finde ich.
11. Password Required –> siehe oben!!
12. Minimum Password Length –> Hier wird es langsam spannend. Das können die meisten heute nicht.
13. Timeout without User Input –> Das Passwort ist auch nur so hilfreich wie es verlangt wird wenn das Gerät nicht verwendet wird.
14. Number of Failed Attempts –> kennt jeder der sein iPhone mal an einem Apero hat liegen lassen (Löschen nach 10 Fehlversuchen et al)

Ich kann aus persönlicher und leidlicher Erfahrung berichten wie viele einfacher ein solches Siegel Geräteevaluationen machen kann. Wird dieses Grundset von Policies auch vom Unternehmen als Grundset zur Unterstützung verwendet, kann in Zukunft nur noch auf das Siegel verwiesen werden.

Update: Der belesene User wird sich fragen warum die Verschlüsselungspolicy keine Voraussetzung ist? Ratet welches zeitgemässe Device keine Verschlüsselung supported? Genau Windows Phone 7. Das eigene Ross aus so einem Stall auszuschliessen wäre ja dann auch blöd

Kontakte in Android 3.0

Kontakte in iOS auf dem iPad:

An der letzten Keynote, ja weiss ist schon ne Weile her, kündete Apple den App Store für den Mac an. Viele fragten sich ob das nötig oder sinnvoll sei. Aus meiner Sicht kann das sehr viel Potential haben. Doch warum? Installationen einfacher machen?

Na ja. Mac User sind ja schon sehr verwöhnt was Installationen angeht. Neustart? Fehlanzeige. Meistens wird doppelgeklickt und man kriegt sogar noch eine schöne Anleitung was zu tun ist. Einfach das Icon in den Folder “Applications” ziehen. Bei dem Beispiel von Firefox sogar noch mit der direkten Verknüpfung zu dem Folder. Auf dem iPhone, und nun bei allen modernen Mobile-Betriebssystemen war der App Store natürlich ein Meilenstein. Wo man früher mühsam Applikationen im Internet zusammensuchte und auf verschiedensten Wegen installieren musste, hatte man nun eine zentrale Anlaufstelle. Eine Installationsart und sehr wichtig, einen Zahlungsweg.

Zurück zum Mac. Die Installationsart ist wie gesagt sehr einfach.Doch was hat dann Potential

1. Auffindbarkeit. Ich behaupte fast alle iOs Benutzer surfen regelmässig durch den App Store und installieren sich dann und wann eine Applikation. Ein Mac App Store macht es den Anwendern einfacher Applikationen zu finden welche schon eine Qualitätsprüfung durchlaufen haben. Zensur werden einige aufschreien, doch auf dem Mac wird es hoffentlich sicher immer alle Installationsarten geben die es heute gibt. Für einfache Anwender die nicht täglich auf Apfelblog.ch oder ähnlichen Publikationen rumsurfen, wäre es aber sicher eine grosse Erleichterung zur Erweiterung der Standard-Apps.
2. Wille für Apps zu zahlen. Noch kein Hersteller von Smartphones und Tablets verdient so gut an Apps wie Apple. iOs Anwender sind nach wie vor die Benutzergruppe die am ehesten bereit ist für Applikationen Geld zu bezahlen. Ich weiss nicht was meine gesamten Investitionen an Apps sind, doch es dürfte einiges sein. Genau gleich dürfte das auch beim Mac App Store werden. Man stelle sich vor, man kriegt ein Keynote für 11.- fürs iPad. Das könnte für nicht viel mehr Geld im Mac App Store landen. Nur zu gerne bezahle ich für die tolle Software. Kleine RSS Reader die nett gemacht sind? 4.40? kein Thema. Ein Twitter Client? etc. Wie ich letzthin im Zusammenhang mit Musik gelesen habe, gibts eine Strategie die mit “Gratis” mithalten kann. “Einfachheit”
3. Ein Weg der Zahlung. Heute für Software aus dem Internet zu bezahlen ist für “unsereiner” (picklige Geeks mit Paypal-Account) bereits ziemlich einfach. Aber trotzdem gibt es eine Vielzahl von Möglichkeiten. Paypal, Kreditkarte, Google Checkout, Vorauskasse, Nachnahme, you name it. Beim Mac App Store wird dies sicher wie beim App Store für iOs werden. iTunes Apple-Account anlegen und loslegen. Das Setup macht man einmal und die Bezahlung wird dann für alle Software-Angebote gleich einfach.
4. Die Zeit läuft. Outlook 2002 war vermutlich mal ne tolle Software. Aber die Zeit lief weiter. Ohne Updates ist das Leben einfach nicht lustig. Der Mac App Store wird auch hier einen einheitlichen Weg anbieten die Software auf dem Mac aktuell zu halten. Vorbei die Zeiten der x-verschiedenen Wege Software zu aktualisieren (vorausgesetzt man bezieht alles aus dem App Store). Auch hier wird es für den “normalen” Anwender extrem viel einfacher. Ich gehe sogar davon aus, dass es ein in-App-Purchasing geben wird. Also beispielsweise neue Keynote-Templates, ein Garage-Band-Instrumente-Set, etc. würde dann einfach im App-Store dazugekauft/-geladen.

Das sind mal vier Gründe warum der Mac App Store aus meiner Sicht speziell für Otto-Normal sehr viel Sinn macht. Und ich freu mich schon auf den Tag wo die erste Anfrage nach so einem Store im Büro reinflattert

Jailbreak. Das magische Wort für iPhone User die sich im “walled garden” nicht ganz so wohl fühlen wie ich. Es soll ja durchaus Leute geben die das Gefühl haben nichts für TomTom Navigation zahlen zu müssen. Schämt euch! Anyway es gäbe angeblich auch ganz valable Gründe sein iPhone von den Apple auferlegten Fesseln zu befreien. Wollen uns jedenfalls die Herren um die iPhone4-Prototyp Diebe Finder weismachen. Für mich ist das nichts, aber jedem Tierchen sein Pläsierchen. Viel interessanter ist aber doch die Frage wie es einer Website wie jailbreakme.com möglich ist durch simples Besuchen einer Website einen Jailbreak durchzuführen. Diese Seite macht sich eine Schwachstelle in Apples iOS zu nutze. Diese Schwäche erlaubt es durch eine korrupte Schriftart in einem PDF-File Code auszuführen. Eine weitere Schwäche im Kernel erlaubt dann diesen Code auch ausserhalb der Sandbox der jeweiligen Applikation zu nutzen. So lässt sich ein ganzes Gerät jailbreaken. Toll nicht? Nicht wirklich. Was mit einem Jailbreak möglich ist lässt eine ganze Reihe weiterer Möglichkeiten offen. Auf dem Blog des Antivirensoftware-Herstellers f-secure kann man sich eine gute Zusammenstellung von Fragen und Antworten zu dem Thema anschauen. So ist speziell die Antwort auf die Frage was denn mit dieser Schwachstelle möglich ist im besten Falle besorgniserregend:

Anything. It could do anything you can do on your phone, and more. So it could destroy or steal all of your data. Track your location. Spam your friends. Listen to your phone calls. Dial the presidents of every country in the world. Anything. And you would pay for all the charges it would create, too.

Ich will hier keine Panik verbreiten. Das Vorhandensein einer solch gravierenden Sicherheitslücke ist aber schon nicht beruhigend. So hoffe ich doch, auch wenn dies das Ende dieses sehr komfortablen Jailbreaks bedeutet, einen raschen Fix für den Fehler. Bis dahin sollte man sich beim Öffnen von PDFs auf dem iPhone immer kurz hinterfragen wie vertrauenswürdig die Quelle denn ist. So könnte zum Beispiel ein Twitter-Link auf ein PDF bereits durch einen Wurm versandt worden sein, auch wenn die sendende Person völlig vertrauenswürdig ist. Gleiches gilt für Mails, Facebook Links etc.

Ja sorry mutiert dieses Blog langsam zum Mobile-Security Ding, aber ich bring sicher bald wieder leicht verdaulichen Content

Wow. Als CSS Unwissender fasziniert mich das wahnsinnig. Graphicpeel.com hat aus reinem CSS die Icons von Apples iOS nachgebaut. Wahnsinn was man da in Zukunft anstellen kann. In Zukunft? Ja. Denn heute sieht es optisch noch eher bescheiden aus wenn man nicht mit dem vorgesehenen Webkit basierten Safari auf die Seite geht.

Auf Googles Chrome sieht es nämlich weniger prickelnd aus, dafür sieht man ein wenig wie das ganze gelöst wurde. Wer näheres wissen will, soll sich den Artikel mal ansehen.