[update] Kennwort-Sumpf: iPhone-App sammelt Passwörter hinter dem Rücken seiner Nutzer

von alex olma | 14. Juni 2011 | 18:13 Uhr

IPhoneBlog de Passcodes

Foto: Amitay.us

Wenn ich noch einen einzigen unreflektierten Artikel mehr, über die “häufigsten-Passwörter-von-iPhone-Nutzern” lesen muss, blutigen bluten mir die Augen. Nur damit ich mich sonnenklar ausdrücke: Hier übermittelte ein Entwickler (mindestens) 204.508 Passwörter von Nutzern im Klartext zu sich nach Hause. Kennwörter! Ohne dessen Zustimmung. Hinter dessen Rücken.

Apples App-Store-Richtlinie sind in diesem Punkt eindeutig:

17.1 Apps cannot transmit data about a user without obtaining the user’s prior permission and providing the user with access to information about how and where the data will be used

via developer.apple.com

Es ließen sich noch unzählige Paragraphen mehr finden, für die dieses App-Store-Programm hochkant aus dem Portal fliegen müsste. Bedauerlicherweise fand dies in der überwiegenden Berichterstattung keine Berücksichtigung.

Update

Knapp 20-Stunden nach der Veröffentlichung dieses Artikels, fliegt ‘Big Brother Camera Security” aus dem App Store.

via Amitay

  • Green Lantern

    Wie kommt denn eine App an das iPhone Kennwort (ich nehm mal an hier ist das vom Lockscreen gemeint oder?) 

    Bin kein Developer; aber Apps sollten doch darauf kein Zugriff haben oder? Hat die App etwa nochmals zum Eingeben aufgefordert?

    • http://www.iphoneblog.de iphoneblog

      Nur? 

      Wenn du als Nutzer noch einwilligst, deine Geo-Position zu senden, gibt’s einen schönen Datenmix. -> Nix anonym…

      • Anonymous

        Moment, war die Sache mit den Geodaten und Apple laut Deiner Aussage nicht völlig harmlos? Wo bleibt der “Panikmacher ich hasse euch” -Artikel dazu?

      • ezod

        Sorry benmillr, aber ich sehe da einen gravierenden Unterschied zwischen der Klartextübermittlung eines persönlichen Passcodes und der _nicht personenbezogenen_ Übermittlung des (ungefähren) Standortes.

      • Anonymous

        1.) Es handelt offenbar nur um den Passcode der App
        2.) Er wird anonymisiert übertragen

        Wo also siehst Du einen Unterschied zu Apples Vorgehen?

      • ezod

        Was heißt den hier bitte “nur um den Passcode”? Hast Du gerade den Ironieschalter angeknipst oder ist das Dein Ernst?

        Es ist also vollkommen in Ordnung ein persönliches Passwort, dass der Benutzer für den Zugriff auf eine App vergibt, unverschlüsselt über den Äther zu jagen? Klasse. Dann hast Du auch sicherlich nichts dagegen, wenn Deine Banking App das zukünftig auch macht.

        Die Vorgehensweise in Bezug auf “Ich frage den Benutzer nicht und übermittle Daten nach Hause” ist die Gleiche, korrekt. Aber der Unterschied liegt hier im Detail.

      • Anonymous

        Ich habe das Vorgehen der App nicht in Schutz genommen, ich fragte Dich lediglich nach dem Unterschied zu Apples damaligem Verhalten. Offenbar kannst Du ihn mir aber nicht nennen. Wundert mich aber auch nicht, da es keinen Unterschied gibt.

      • ezod

        Und offenbar hast Du meine Anwort nicht verstanden oder ich mich nicht klar ausgedrückt ;)

        “Die Vorgehensweise in Bezug auf “Ich frage den Benutzer nicht und übermittle Daten nach Hause” ist die Gleiche, korrekt. Aber der Unterschied liegt hier im Detail.”. Im Klartext:

        Von meinem persönlichen Standpunkt aus ist die Klartextübermittlung eines Passwortes gravierender als die Übermittlung eines ungefähren Standortes. Das macht für mich den Unterschied.

      • Anonymous

        Naja, der Passcode hat nur 10.000 mögliche Kombinationen, mit einem echten Passwort ist er also nicht gleichzusetzen. Geodaten finde ich da schon sensibler, vor allem wenn sie jeder auslesen kann und nicht nur ein Entwickler.

  • 123

    Welche App?

    • http://www.iphoneblog.de iphoneblog

      Big Brother Camera Security.

      • Florian Siegers

        Da war der Name wohl Programm. ;)

  • http://twitter.com/marcelanacker Marcel Anacker

    Immerhin kann man ihm zu Gute halten, dass er seine App “Big Brother …” benannt hat. ;)

  • http://twitter.com/SPeitsch Sebastian Peitsch

    Hm. Das da in der Tabelle sind doch nur 10 Prozent. Wenn die anderen Passcodes sicherer sind frag ich mich wo das Problem liegt – sprich wo ist die Begründung, diese Daten überhaupt so aufgelistet zu veröffentlichen? Apple-Kunden verwenden für DAS PROGRAMM offensichtlicher Weise nicht hautpsächlich einfache Codes.

    Aber mal ganz davon ab finde ich den Gedankensprung “Weil das Layout gleich ist werden die User sicher das gleiche Passwort für ihren Lockscreen verwenden” ziemlich seltsam. Ohne zu wissen, wie viele Leute überhaupt ihr iPhone “locken” bzw. mit einem Passcode versehen haben, ist diese Annahme gewagt.

    Weil: ICH würde für den Lockscreen den gleichen Code verwenden wie meine SIM-Pin (weil mein Gerät immer mit Strom versorgt wird am laufenden Meter muss ich die PIN nur alle paar Jahre mal eingeben – durch die Eingabe am Lockscreen würde ich die PIN länger im Gedächtnis behalten)

    So oder so aber hast Du Recht – der Entwickler sollte aus dem AppStore fliegen – und seine Annahmen halte ich für Schwachsinn.

    • Manolo

      Wenn er 200.000 Passwörter hat und der Lockscreen vierstellig ist (10.000 Kombinationen) sollte jedes Passwort etwa 20 mal in der Statistik auftauchen. Die Passörter der User die in der Grafik sichtbar sind also 40 bis 400 mal häufiger als normal.

      Wo ist eigentlich der Link zum Originalartikel?

      • http://www.iphoneblog.de iphoneblog

        Unter ‘Foto’ verlinkt.

  • Anonymous

    Leider wirklich frech. Wobei er damit ein für allemal aus dem Bereich der seriösen Programmierer entlassen werden dürfte…

  • Mikey

    Hm, was hat es denn mit “5683″ und “1998″ auf sich?

    • parabel

      Laut dem verlinkten Artikel repräsentiert “5683″ das Wort “LOVE”. Und 1998 ist scheinbar einfach die populärste der generell ziemlich oft verwendeten Jahreszahlen.

  • Alex

    Danke, dass das auch mal jemand sagt. Als ich den ersten Bericht drüber gelesen habe konnte ich das alles gar nicht glauben. Ehrlich gesagt will ich gar nicht wissen wie oft schon im Hintergrund einer App mein Telefonbuch an den Entwickler geschickt wurde ohne das ich es mitbekommen habe.

  • http://twitter.com/traumlos_ schiff in not

    ähm… wo waren da eigentlich die appstore-zwerge? wenn sowas durchgeht, das nächstemal am besten mit kreditkarten versuchen…

  • Anonymous

    Wie kann eine App auf Passcode-Daten zugreifen? Das ist doch gar nicht möglich, ansonaten hätte iOS ein grundlegendes Sicherheitsproblem.

  • Pingback: App-Flash » Kennwort-Sumpf: iPhone-App sammelt Passwörter hinter dem Rücken …

Werbung

Wer eine beliebige iPhone-App im iTunes App Store über diesen Link kauft, seinen Mac mit Programmen aus dem Mac App Store bestückt oder ein Produkt seiner Wahl bei Amazon bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.

Mok adn lang hell tr

Werbeplatz gefällig? -> KLICK.

Flattr verteilt kleine Mikrozahlungen, mit denen Ihr persönlich diesem Blog kleine Aufmerksamkeiten zukommen lasst. Über diesen Button; jeden Monat neu. Vielen Dank dafür!