MACNOTES

Veröffentlicht am  21.10.10, 11:51 Uhr von  kg

FaceTime für Mac: Sicherheitslücken gefährden Apple-ID

Facetime MacWährend sich viele Nutzer über die Möglichkeit von FaceTime auf dem Mac freuen und bereits fleißig mit Bekannten auf iPhone 4 und iPod touch 4G videotelefonieren, sollten sie sich die Sicherheitslücken in der Software genauer anschauen: Auf einfachem Wege kann man vollen Zugriff auf die angegebene Apple-ID bekommen.

Unsere Bedenken an den Sicherheitseinstellungen begannen heute morgen, als uns Gernot auf die Einstellungen der Software hinwies: Hat man sich einmal bei Facetime eingeloggt, kann man über das Einstellungs-Menü die Accounteinstellungen für alle in der Anwendung hinterlegten Accounts einsehen.

[singlepic id=10224 w=250]

Dazu gehören nicht nur der Nutzername oder der Ort, sondern auch die Sicherheitsfrage für den Passwort-Reset sowie die dazugehörige Antwort – in Plain Text, ohne weitere Absicherung. Gleiches gilt für das Geburtsdatum. Das Problem daran: Sicherheitsfrage und -Antwort sowie Geburtsdatum (inklusive Geburtsjahr) sind die einzigen Informationen, die man für das Zurücksetzen des Apple ID-Passwortes braucht.

Wir haben den Vorgang des Zurücksetzens mal nachgespielt:

[singlepic id=10223 w=435]
[singlepic id=10220 w=435]
[singlepic id=10221 w=435]
[singlepic id=10219 w=435]
[singlepic id=10225 w=435]
[singlepic id=10222 w=435]

Auch ohne die Lücke ist das Vorgehen beim Zurücksetzen des Passworts eindeutig fragwürdig – wer eine der vorgegeben Fragen als Sicherheitsfrage wählt, muss mindestens damit rechnen, dass Bekannte und Familie die Antwort wissen könnten. Dennoch ist die Klartext-Anzeige von Geheimfragen-Antwort sowie anderen sensiblen Daten alles andere als positiv zu bewerten. Zudem gibt es keine Möglichkeit, die Sicherheitsfrage aus den Einstellungen zu entfernen, ebensowenig wie die Option, das Zurücksetzen des Passworts mit Hilfe der Sicherheitsfrage direkt bei Apple zu deaktivieren.

Ein zweites Problem tut sich beim Ausloggen auf: Wählt man bei Facetime die Option “Abmelden” aus, wird man zwar ausgeloggt, allerdings bleibt das Passwort im dazugehörigen Feld.

[singlepic id=10228 w=0]

Dies ist auch der Fall, wenn man sich ausloggt und die Anwendung hinterher beendet und neu startet. Grundsätzlich sollte es so sein, dass das Passwort standardmäßig aus der Eingabezeile entfernt wird, sobald man die Anwendung beendet.

Grundsätzlich gilt: Man sollte seinen Rechner niemals offen irgendwo stehen lassen, wo andere Zugriff darauf haben – dennoch sollte es Standard sein, dass das Passwort nach dem Ausloggen aus dem Feld entfernt wird.

Update 22. Oktober 10:00 Uhr: Apple hat den Fehler mittlerweile übergangsweise behoben und die Abfrage serverseitig geblockt. Klickt man auf das Account-Menü passiert nichts mehr, die Anzeige springt zurück auf die Account-Übersicht.

 Und wie ist deine Meinung?  Schreib uns einfach!

 20 Kommentar(e) bisher

  •  @tobiasroemer sagte am 21. Oktober 2010:

    RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962

    Antworten 
  •  @MacSnider sagte am 21. Oktober 2010:

    RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962

    Antworten 
  •  @lik0n sagte am 21. Oktober 2010:

    RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962

    Antworten 
  •  frantic sagte am 21. Oktober 2010:

    Es ist BETA Software…!

    Antworten 
  •  @damocles74 sagte am 21. Oktober 2010:

    RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962

    Antworten 
  •  Ronny sagte am 21. Oktober 2010:

    Fragwürdig ist doch höchstens die Antwort auf die Sicherheitsfrage die andere doch kennen könnten. Da sehe ich nicht wirklich eine Sicherheitslücke sondern eher die “Dummheit” derjenigen die diese beantworten.

    Eine weitere Frage tut sich mir bei dem Artikel auf und zwar kann ich die Daten von wirklich ALLEN jemals auf facetime eingeloggten Accounts auf dem Mac sehen oder nur diese die sich auf dem Benutzeraccount eingeloggt haben? Sollte es so sein, das jeder Account der sich jemals auf dem Mac eingloggt haben sehen kann, ok dann sollte das nicht so sein, sehe ich nur die Accounts die sich auf einem Benutzer eingeloggt haben, dann halte ich nicht die Facetimeeinstellung für gefährlich, sondern die Nutzungsgewohnheiten der User. Man kann einfach nicht erwarten, das irgendjemand die Verantwortung für den Umgang mit meinen Passworten übernimmt, da sollte ich mich dann schon selber drum kümmern. Ich poste ja auch nicht meine Kreditkartendaten im Netz und erwarte das die niemand nutzt.

    Antworten 
  •  kg sagte am 21. Oktober 2010:

    @frantic dennoch sollte sowas auch in einer Beta nicht passieren. Außerdem wollen wir grundsätzlich vor den Lücken warnen, egal ob Beta oder nicht.

    @Ronny Es gibt keinen Opt-Out, wenn du eine ID anlegst, musst du auch eine Sicherheitsfrage inklusive Antwort angeben.
    Auf welche Daten Facetime bei mehreren Accounts auf einem Rechner zugreift hängt davon ab, wie die Accounteinstellungen aussehen – wenn man voreinstellt, dass ein Account Quasi-Adminrechte haben soll, bekommt er alle, die eingegeben wurden, besser ist es da, für jeden Rechner-Account eigene Settings zu aktivieren.

    Antworten 
  •  @ApfelAktuell sagte am 21. Oktober 2010:

    FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962

    Antworten 
  •  @MonaThal sagte am 21. Oktober 2010:

    RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962

    Antworten 
  •  kg sagte am 21. Oktober 2010:

    @Ronny ich verstehe einfach nicht, warum Sicherheitsfrage und -antwort überhaupt in den Einstellungen auftauchen müssen – die haben da meines Erachtens nichts zu suchen, und wenn überhaupt, dann nur mit erneuter Passwortabfrage vor dem Anzeigen.

    Antworten 
  •  Ronny sagte am 21. Oktober 2010:

    @kg das habe ich auch nicht in Frage gestellt. Was ich in Frage stelle ist die Aussage: “Auch ohne die Lücke ist das Vorgehen beim Zurücksetzen des Passworts eindeutig fragwürdig – wer eine der vorgegeben Fragen als Sicherheitsfrage wählt, muss mindestens damit rechnen, dass Bekannte und Familie die Antwort wissen könnten.”

    Antworten 
  •  Ronny sagte am 21. Oktober 2010:

    @kg ich war mir jetzt nicht ganz sicher aber um eine AppleID zu erstellen, gebe ich selber eine Frage ein, bei Itunes zumindest und auch auf der Webseite habe ich die Möglichkeit eine eigene Frage zu wählen. Möchte ich den Kreis wieder schließen, jeder ist selbst verantwortlich.

    Antworten 
  •  Patrick sagte am 21. Oktober 2010:

    Es scheint übrigens noch schlimmer zu sein: Man kann in den Kontoeinstellungen von Facetime sowohl Passwort als auch Sicherheitsabfrage direkt ÄNDERN. Ohne weitere Hürden.

    Unglaublich, kann das jemand bestätigen?

    Antworten 
  •  Rigoo sagte am 21. Oktober 2010:

    “Grundsätzlich sollte es so sein, dass das Passwort standardmäßig aus der Eingabezeile entfernt wird, sobald man die Anwendung beendet.”

    Ach, ist das so? ;) Wäre mir neu – heutzutage wird doch ÜBERALL das Passwort “gespeichert” – als PlainText sollte es natürlich nicht angezeigt werden, da habe ich doch lieber die *******, auch wenn ich natürlich weiß, das niemand an meinen Mac kommt, dem ich das nicht anvertrauen würde. Allerdings sollte es eine Option “Passwort merken?” geben, damit man das eben auch abstellen kann.

    Antworten 
  •  Michael sagte am 21. Oktober 2010:

    Ich hab versucht, das Problem nachzuvollziehen, kann aber keine Einstellungen einsehen, oder ändern.

    Antworten 
  •  @ppati000 sagte am 21. Oktober 2010:

    RT @Macnotes: FaceTime für Mac: Sicherheitslücken gefährden Apple-ID http://macnot.es/50962

    Antworten 
  •  Gernot sagte am 21. Oktober 2010:

    Apple hat die Lücke “geschlossen” und den Dialog entfernt…

    Antworten 
  •  kg sagte am 21. Oktober 2010:

    Muss Gernot leider korrigieren: Der Dialog ist noch da, erscheint aber nicht immer. Quasi ein Bug im Bug ;)

    Antworten 
  •  Rigoo sagte am 22. Oktober 2010:

    Auch bei mir erscheinen die Einstellungen nicht mehr, wie von heise berichtet:

    http://www.heise.de/newsticker/meldung/Facetime-Beta-als-Hintertuer-zum-Apple-Account-1123598.html

    Antworten 
  •  kg sagte am 22. Oktober 2010:

    @Rigoo heise berichtet, dass wir drüber berichtet haben. Stand seit heute morgen schon im Update oben drin ;)

    Antworten 

Kommentar verfassen

Werbung
© 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de