Veröffentlicht am 21.10.10, 11:51 Uhr von kg
Während sich viele Nutzer über die Möglichkeit von FaceTime auf dem Mac freuen und bereits fleißig mit Bekannten auf iPhone 4 und iPod touch 4G videotelefonieren, sollten sie sich die Sicherheitslücken in der Software genauer anschauen: Auf einfachem Wege kann man vollen Zugriff auf die angegebene Apple-ID bekommen.
Unsere Bedenken an den Sicherheitseinstellungen begannen heute morgen, als uns Gernot auf die Einstellungen der Software hinwies: Hat man sich einmal bei Facetime eingeloggt, kann man über das Einstellungs-Menü die Accounteinstellungen für alle in der Anwendung hinterlegten Accounts einsehen.
Dazu gehören nicht nur der Nutzername oder der Ort, sondern auch die Sicherheitsfrage für den Passwort-Reset sowie die dazugehörige Antwort – in Plain Text, ohne weitere Absicherung. Gleiches gilt für das Geburtsdatum. Das Problem daran: Sicherheitsfrage und -Antwort sowie Geburtsdatum (inklusive Geburtsjahr) sind die einzigen Informationen, die man für das Zurücksetzen des Apple ID-Passwortes braucht.
Wir haben den Vorgang des Zurücksetzens mal nachgespielt:
Auch ohne die Lücke ist das Vorgehen beim Zurücksetzen des Passworts eindeutig fragwürdig – wer eine der vorgegeben Fragen als Sicherheitsfrage wählt, muss mindestens damit rechnen, dass Bekannte und Familie die Antwort wissen könnten. Dennoch ist die Klartext-Anzeige von Geheimfragen-Antwort sowie anderen sensiblen Daten alles andere als positiv zu bewerten. Zudem gibt es keine Möglichkeit, die Sicherheitsfrage aus den Einstellungen zu entfernen, ebensowenig wie die Option, das Zurücksetzen des Passworts mit Hilfe der Sicherheitsfrage direkt bei Apple zu deaktivieren.
Ein zweites Problem tut sich beim Ausloggen auf: Wählt man bei Facetime die Option “Abmelden” aus, wird man zwar ausgeloggt, allerdings bleibt das Passwort im dazugehörigen Feld.
Dies ist auch der Fall, wenn man sich ausloggt und die Anwendung hinterher beendet und neu startet. Grundsätzlich sollte es so sein, dass das Passwort standardmäßig aus der Eingabezeile entfernt wird, sobald man die Anwendung beendet.
Grundsätzlich gilt: Man sollte seinen Rechner niemals offen irgendwo stehen lassen, wo andere Zugriff darauf haben – dennoch sollte es Standard sein, dass das Passwort nach dem Ausloggen aus dem Feld entfernt wird.
Update 22. Oktober 10:00 Uhr: Apple hat den Fehler mittlerweile übergangsweise behoben und die Abfrage serverseitig geblockt. Klickt man auf das Account-Menü passiert nichts mehr, die Anzeige springt zurück auf die Account-Übersicht.
Und wie ist deine Meinung? Schreib uns einfach!
Tags: Apple ID, Facetime, Sicherheit, sicherheitslücke
RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962
RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962
RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962
Es ist BETA Software…!
RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962
Fragwürdig ist doch höchstens die Antwort auf die Sicherheitsfrage die andere doch kennen könnten. Da sehe ich nicht wirklich eine Sicherheitslücke sondern eher die “Dummheit” derjenigen die diese beantworten.
Eine weitere Frage tut sich mir bei dem Artikel auf und zwar kann ich die Daten von wirklich ALLEN jemals auf facetime eingeloggten Accounts auf dem Mac sehen oder nur diese die sich auf dem Benutzeraccount eingeloggt haben? Sollte es so sein, das jeder Account der sich jemals auf dem Mac eingloggt haben sehen kann, ok dann sollte das nicht so sein, sehe ich nur die Accounts die sich auf einem Benutzer eingeloggt haben, dann halte ich nicht die Facetimeeinstellung für gefährlich, sondern die Nutzungsgewohnheiten der User. Man kann einfach nicht erwarten, das irgendjemand die Verantwortung für den Umgang mit meinen Passworten übernimmt, da sollte ich mich dann schon selber drum kümmern. Ich poste ja auch nicht meine Kreditkartendaten im Netz und erwarte das die niemand nutzt.
@frantic dennoch sollte sowas auch in einer Beta nicht passieren. Außerdem wollen wir grundsätzlich vor den Lücken warnen, egal ob Beta oder nicht.
@Ronny Es gibt keinen Opt-Out, wenn du eine ID anlegst, musst du auch eine Sicherheitsfrage inklusive Antwort angeben.
Auf welche Daten Facetime bei mehreren Accounts auf einem Rechner zugreift hängt davon ab, wie die Accounteinstellungen aussehen – wenn man voreinstellt, dass ein Account Quasi-Adminrechte haben soll, bekommt er alle, die eingegeben wurden, besser ist es da, für jeden Rechner-Account eigene Settings zu aktivieren.
FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962
RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962
@kg ich weiß das man so eine Frage erstellen muß (selber) und auch eine Antwort wählen muß, nur die ich bin doch selber zu dämlich wenn diese Antwort irgendwer “erraten” könnte. Wenn ich frage welche Automarke ich fahre und dann auch nicht die Antwort auf diese Frage gebe, die dann auch noch zu der Karre vor der Haustür passt … dumm. Mal ehrlich eine Sicherheitslücke ist es doch erst, wenn andere ohne Wissen über denjenigen, Daten auslesen können, auf jeden Fall was die Zurücksetzung des Itunes PW angeht. Ganz nebenbei es gibt viele User die sitzen hinter Firewall, Proxyserver, nutzen irgendwelche Virenscanner, geben viel Geld für ihre “Sicherheit” im Netz aus und nutzen dann PW like “123456″ … also bitte sage ich da, selber Schuld. Ich möchte nicht sagen die Lösung von Apple ist optimal, keine Frage, aber ich finde die haben ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit gefunden. Also ich will bei einem vergessenen PW bestimmt nicht irgendwo anrufen (eine Mail schreiben) damit die mir dann per Einschreiben ein neues zukommen lassen und vorher soll ich sicher nicht per PostID-Verfahren beweisen, das ich das auch wirklich bin.
Was diese Facetime Geschichte angeht, ok das werde ich mir dann mal anschauen und denn selber entscheiden, bisher sehe ich da noch nichts sonderlich schlimmes.
@Ronny ich verstehe einfach nicht, warum Sicherheitsfrage und -antwort überhaupt in den Einstellungen auftauchen müssen – die haben da meines Erachtens nichts zu suchen, und wenn überhaupt, dann nur mit erneuter Passwortabfrage vor dem Anzeigen.
@kg das habe ich auch nicht in Frage gestellt. Was ich in Frage stelle ist die Aussage: “Auch ohne die Lücke ist das Vorgehen beim Zurücksetzen des Passworts eindeutig fragwürdig – wer eine der vorgegeben Fragen als Sicherheitsfrage wählt, muss mindestens damit rechnen, dass Bekannte und Familie die Antwort wissen könnten.”
@kg ich war mir jetzt nicht ganz sicher aber um eine AppleID zu erstellen, gebe ich selber eine Frage ein, bei Itunes zumindest und auch auf der Webseite habe ich die Möglichkeit eine eigene Frage zu wählen. Möchte ich den Kreis wieder schließen, jeder ist selbst verantwortlich.
Es scheint übrigens noch schlimmer zu sein: Man kann in den Kontoeinstellungen von Facetime sowohl Passwort als auch Sicherheitsabfrage direkt ÄNDERN. Ohne weitere Hürden.
Unglaublich, kann das jemand bestätigen?
“Grundsätzlich sollte es so sein, dass das Passwort standardmäßig aus der Eingabezeile entfernt wird, sobald man die Anwendung beendet.”
Ach, ist das so? ;) Wäre mir neu – heutzutage wird doch ÜBERALL das Passwort “gespeichert” – als PlainText sollte es natürlich nicht angezeigt werden, da habe ich doch lieber die *******, auch wenn ich natürlich weiß, das niemand an meinen Mac kommt, dem ich das nicht anvertrauen würde. Allerdings sollte es eine Option “Passwort merken?” geben, damit man das eben auch abstellen kann.
Ich hab versucht, das Problem nachzuvollziehen, kann aber keine Einstellungen einsehen, oder ändern.
RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962
Apple hat die Lücke “geschlossen” und den Dialog entfernt…
Muss Gernot leider korrigieren: Der Dialog ist noch da, erscheint aber nicht immer. Quasi ein Bug im Bug ;)
Auch bei mir erscheinen die Einstellungen nicht mehr, wie von heise berichtet:
http://www.heise.de/newsticker/meldung/Facetime-Beta-als-Hintertuer-zum-Apple-Account-1123598.html
@Rigoo heise berichtet, dass wir drüber berichtet haben. Stand seit heute morgen schon im Update oben drin ;)