Stay hungry. Stay foolish.

Gravierende Sicherheitslücken in vielen iOS Apps

iExplorer

Anwendungen von Dropbox, Facebook und vielen anderen ermöglichen kinderleichten Identitätsdiebstahl

Eines vorweg: Es ist sicher nicht das Ende der Welt - aber doch sehr bedenklich - wie leichtferig manche Anbieter mit den persönlichen Informationen ihrer Nutzer umgehen: Wie Garreth Wright herausfand und wie TheNextWeb bestätigte, legen die Apps von Facebook und Dropbox sensible Daten wie z.B. die zur Anmeldung unverschlüsselt in simplen Textdateien ab, anstatt Apples Schlüsselbund-Verwaltung zu nutzen. Was zunächst nach einem handfesten Skandal klingt, muss man bei näherer Betrachtung jedoch etwas relativieren.

Ein potenzieller Datendieb benötigt nämlich physischen Zugang zu dem jeweiligen Gerät. Ein Zugriff aus der Ferne ist nicht ohne weiteres möglich. Wenn man weiss, wonach man suchen muss, ist es allerdings sehr einfach, die fraglichen Dateien vom iPhone, iPad oder iPod touch auf ein anderes Gerät zu kopieren. Dazu braucht man weder Jailbreaks, noch fragwürdige Hacks. Frei und kostenlos zugängliche Programme wie iExplorer für Mac und PC können das erledigen.

Schliesst man ein iOS-Device über das USB-Kabel an den Rechner an, hat man mit solchen Tools vollen Zugriff auf das Dateisystem. Auch wenn sich der Inhalt vieler Objekte auf diese Weise nicht öffnen oder sichten lässt - kopieren kann man die Files. Und sind dort unverschlüsselte Informationen abgespeichert, lassen sich diese einfach auf anderen Geräten nutzen.

Im Fall der Apps von Facebook und Dropbox ist es den Berichten zufolge so, dass - unter anderem - sowohl der OAuth Key, als auch sein eigentlich geheimes Gegenstück in simplen, unverschlüsselten Property Lists abgelegt sind. Warum die Unternehmen nicht die von iOS angebotene Schlüsselbund-Verwaltung nutzen, ist noch unklar.

Facebook hatte in einem ersten Statement behauptet, der Zugriff auf solche Informationen sei nur mit "jailbroken" iOS-Geräten möglich. Doch diese These wurde rasch widerlegt. Nun versprach das Unternehmen eine schnelle Lösung. Von Dropbox ist bisher noch keine Stellungnahme bekannt.

Das Problem scheint sehr viel weiter verbreitet zu sein, als zunächst angenommen. Mittlerweile wurde die gleiche Sicherheitslücke auch bei den offiziellen Apps von Tumblr und Vimeo entdeckt. Vermutlich weisen noch Tausende andere Anwendungen diese Schwächen auf.

Auf jeden Fall machen sich Anbieter grober Fahrlässigkeit schuldig, wenn sie Autorisierungsdaten in einfachen Textfiles ablegen. Solche Leichtfertigkeit ist wirklich kaum zu fassen. Missbräuchlich eingesetzt, lassen sich damit in Minuten ganze Existenzen ruinieren.

Wie kann man sich vor diesen Lücken schützen?
Ganz einfach: Das iOS-Gerät nicht unbeaufischtigt herumliegen lassen, die 4-stellige Codesperre einschalten und das iCloud-Feature "Mein iPhone finden" aktivieren.

Screenshot und Text: Thomas Landgraeber

Hat Ihnen dieser Beitrag gefallen?
Dann teilen Sie ihn mit Freunden und Kollegen, abonnieren Sie den RSS-Feed,
oder folgen Sie mir. Ich freue mich auch über jeden Kommentar. Vielen Dank.



WERBUNG

blog comments powered by Disqus