MACNOTES

Veröffentlicht am  17.03.09, 15:43 Uhr von  rj

iPhone-Apps und die Sicherheit: Passwörter im Klartext bei Lufthansa, Mobilebutler und anderen

iPhone 3GDer Verlust eines iPhones bedeutet nicht nur den der teuren Hardware: unter den zahlreichen Daten, die ein modernes Smartphone speichert, befinden sich je nach den verwendeten Apps auch mehr und mehr sicherheitskritische Account- und Zugangsdaten. Neben Szenarien zum Identitätsdiebstahl könnte auch teurer Missbrauch von Diensten drohen. Diverse Apps speichern auf dem iPhone Passwörter und Zugangsdaten im Klartext ab, und im schlimmsten Fall sollte man das nicht vergessen. Betroffen sind unter anderem der Lufthansa Launcher und die populäre Hotspot-App Mobilebutler. Holger Frank, seines Zeichens MobileButler-Entwickler, gab uns Antwort auf einige dadurch aufgeworfene Fragen.

[singlepic id=3109 w=200 float=left] So richtig ist das Problem nicht auf dem Schirm: zahlreiche Apps speichern persönliche Daten, bis hin zu Kreditkartendaten oder Zugangskennungen für diverse Onlinedienste. Solang man sein iPhone in der eigenen Tasche behält, ist das kein Problem. Was aber passiert im Verlustfall? Worstcase: das Smartphone kriegt einen Jailbreak verpasst und alle verfügbaren persönlichen Daten werden abgegriffen. Die liegen mitnichten alle in einem verschlüsselten Schlüsselbund, sondern werden gelegentlich schlicht als Klartext abgelegt.
[singlepic id=3111 w=220 float=right]
Die Lufthansa-App LH Launcher verspricht zwar das “verschlüsselte Speichern” im “Betriebssystem des iPhone”, davon kann jedoch keine Rede sein. Das Auslesen der eingegebenen Zugangsdaten konnten wir problemlos nachvollziehen. Accountdaten für die Lufthansa-eTickets oder das Miles and more-Programm stehen im Klartext in einem nicht allzu schwer zu findenden File auf dem iPhone. SFTP-Verbindung und ein Texteditor der Wahl reichen für das Auslesen der Daten aus, man braucht nicht einmal den nebenan verwendeten Backup Extractor.

[singlepic id=3110 w=220 float=right] Ähnlich verhält es sich mit MobileButler – zum Aufspüren von Hotspots und der Verwaltung der Datentarife bei T-Mobile benötigt das Programm die T-Mobile-Zugangsdaten des Nutzers. Diese wird im Programm eingegeben und ebenfalls nicht verschlüsselt abgelegt – ein Manko, das Entwickler Holger Frank in Kürze behoben wissen will. Die bereits angekündigte Version 3.0 des Programms soll die Zugangsdaten im iPhone-Schlüsselbund ablegen. Frank konkret:

“Version 3.0 wird das nächste geplante Update. Es wird nach momentanem Stand die nächsten 8-14 Tagen verfügbar sein. Leider ist momentan die Durchlaufzeit im AppStore nur schwer abschätzbar, deshalb können wir keinen genaueren Termin nennen. … Mit Version 3.0 werden wir die sicherheitsrelevanten Daten wie Login und Passwörter im iPhone-Schlüsselbund abspeichern.”

Sony

Bis dahin liegen auch die Accountdaten des MobileButler im Klartext vor – kein großes Ding, solang das iPhone bzw. ein Backup nicht in falsche Hände gerät (auch wenn es sich nebenan anders anhört). Falls ein unbefugter Dritter aber Zugriff auf iPhone oder Backup kriegt, braucht er nur zu wissen, wo die Passwörter stehen:
[singlepic id=3113 w=425]
Die Problematik wird im Fall Mobilebutler angegangen, die Version 3.0 steht bereits weitgehend in den Startlöchern. Frank dazu:

“Da wir als App-Entwickler natürlich ein Interesse daran haben, möglichst sichere Applikationen zu entwerfen und es natürlich auch möglich ist, dass mit gewisser krimineller Energie und Sachkenntnis die Daten auf dem iPhone auch ausgelesen werden könnten, stellen wir uns natürlich der Verantwortung, die Sicherheit nochmals zu erhöhen.”

Sony

Allgemein sieht er jedoch im Fall des Verlusts oder Diebstahls in erster Linie die Problematik beim Zugang Dritter auf E-Mails, Kalender, Kontakten, Notizen und andere Anwendungen. Auch auf Userseite werden in erster Linie diese Daten zum Kopfzerbrechen führen, tritt der Worstcase ein. Es dürfte sich anschließend trotz allen Ärgers aber auch lohnen, an die anderen Apps zu denken, die man installiert und mit Daten gefüttert hat – die könnten in den falschen Händen auch für die eine oder andere böse Überraschung taugen. Betroffen von dem Problem werden zwar nur wenige Leute sein – diese jedoch wünschen sich nach einem iPhone-Verlust mit Sicherheit alles andere als weitere Probleme durch geleakte Accountdaten.

 Und wie ist deine Meinung?  Schreib uns einfach!

 4 Kommentar(e) bisher

  •  choise sagte am 17. März 2009:

    Holger Frank ist ein klasse App-Entwickler.
    Kaum sieht jemand das Problem, schon behebt er es mit einem Update.
    Ich selbst hatte ihm mal einen kleinen Verbesserungsvorschlag für “MobileButtler” geschickt. 20 Min später kam eine E-Mail mit einem “Danke, es ist schwierig aber ich werde es wohl integrieren demnächst.”, und siehe da, 2 Versionen später war das Feature eingebaut.

    Antworten 
  •  rj sagte am 17. März 2009:

    Dito mein Eindruck, mir fiel auch erst nach hinundhermailen auf, dass er grade wohl ne ganze Latte entsprechender Anfragen gekriegt hat. Da dann die ansage “machen wir, ist in Arbeit” und die Infos, die man braucht, so muss es sein :)

    Antworten 
  •  Takeo sagte am 17. März 2009:

    hm… also das Problem ist aber nicht wirklich eines – klar mit Jailbreak schon, da dann SSH auf dem iPhone aktiv ist. Ist das iPhone aber per Passcode geschützt, klappt das nicht und man kommt nicht an die Daten.
    Ist also so lala. Ich würde eh sagen, mal sollte immer auf die Daten verzichten die einem wichtig sind, wenn man etwas ins iPhone speichert.

    Antworten 
  •  sebastian sagte am 17. März 2009:

    Holger Frank ist ein klasse App-Entwickler.
    Kaum sieht jemand das Problem, schon behebt er es mit einem Update.

    Gute App-Entwickler sichern Passwörter und sensible Daten nicht in Klartext…
    So würde ich es formulieren…

    Antworten 

Kommentar verfassen

Werbung
© 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de