von Alex Olma
  • http://www.appleoutsider.de/ AppleOutsider.de – Sebastian P

    *slowclap*

    Ganz ganz großes Tennis.

  • FWeinb

    Hier noch ein paar Apps die es bisweilen. Sogar noch schlimmer machen und die Daten wirklich im Klartext drinstehen haben:

    https://docs.google.com/a/weinberg.me/spreadsheet/lv?key=0AogIDG1ElWg0dC03Uy1FaFhSel9qSjZQRDl6bWM0Z0E

  • Pascal Kurschildgen

    Leider ist den meisten App Programmierern und deren Auftraggebern dies bewusst und wird so hingenommen. Im Laufe meiner vielzähligen forensischen Analysen an iOS und Android Devices kommt mir dies häufig unter. Selbst Hinweise an den Hersteller wie ich es gemeinsam mit Kollegen gemacht habe (http://kurschildgen.com/xing.pdf) verhallen und werden ignoriert.

  • http://twitter.com/ultimatemoe Moritz

    Das hab ich sogar schon mal gemacht. Habe aber eigentlich damit gerechnet das das nicht geht und war danach tierisch erschrocken!

  • t10n

    OMG! Login-Credentials gehören in die iOS Keychain.

    • Sebbi

      Kann man dort auch das Sessiontoken speichern? Ich denke das wird hier kopiert, weil ein Login findet bei beiden Apps beim Start nicht unbedingt statt, es wird lediglich die Session fortgesetzt, oder?

      • Alex

        In der Keychain kann man im Grunde alles speichern. Also auch Session-Tokens.

  • Markus (motu90)

    Arbeiten bei solch großen Firmen eigentlich nur Amateure? Jede kleine Firma würde bei so etwas auseinandergenommen – zurecht.

  • Chris

    Das sind die Apps, die ich noch gefunden habe, die die Passwörter unverschlüsselt ablegen:Payshield (Paypal App)FRITZ!AppFRITZ!LaborfritzCalls

  • Foo

    Das sind die Apps, die ich noch gefunden habe, die die Passwörter unverschlüsselt ablegen:
    Payshield (Paypal App)
    FRITZ!App
    FRITZ!Labor
    fritzCalls

  • Gast

    Können andere Apps diese Daten unbemerkt stehlen? Oder sind die Apps so isoliert, dass sie sich nur über USB auslesen lassen?

    • http://www.iphoneblog.de iphoneblog

      Ich antworte mal mit einem (generell) ergänzenden Link.

      http://blog.agilebits.com/2012/04/06/oauth-dropbox-and-your-1password-data/

    • Alex

      Andere Apps sollten nicht an diese Daten kommen können, wenn doch, dann hätte Apple ein extrem ernsthaftes Problem beim Sandboxing im iOS. Aber so sieht es nicht aus. Solange man keinen Jailbreak auf dem Gerät hat, sollten die Daten sicher vor anderen Apps sein. Mit einem Jailbreak ist das vermutlich nicht mehr der Fall.

      D.h. die einzige Gefahr für ein nicht-gejailbreaktes Gerätes ist der physikalische Zugriff, so dass der Angreifer per USB auf die Daten zugreifen kann (z.B. über Programme wie iExplorer). Wobei hier dann noch die Frage ist, ob man dann auch bei einem gelockten Gerät noch an die Daten kommt.

      Das heißt, wer sein Gerät nicht verliert und darauf achtet, das niemand Fremdes mit dem Gerät spielt, muss nicht sofort in Panik verfallen ;-)

      Ein Problem ist nun natürlich, dass es eine ganze Reihe von Apps gibt, die ihre Dropbox bzw. Facebook-Unterstützung über die offiziellen dropbox bzw. Facebook-Frameworks implementieren, die dann jetzt vermutlich alle auch geupdatet werden müssen. Denn es ist zu vermuten, dass die Dropbox und Facebook Apps selbst die selben Frameworks verwenden, die diese Firmen für andere Apps zur Verfügung stellen, und die damit alle das selbe Problem haben.

      • Gast

         Vielen, vielen Dank für die ausführliche Antwort!

iPhoneBlog–Social

Support

App Store

Wer eine beliebige iPhone-App im App Store über diesen Link kauft, seinen Mac mit Software aus dem Mac App Store beglückt oder ein Produkt seiner Wahl bei Amazon bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.

Flattr verteilt Mikrozahlungen, mit denen Ihr persönlich diesem Blog kleine Aufmerksamkeiten zukommen lasst. Über diesen Button; jeden Monat neu. Vielen Dank dafür!

Archiv

Gastfreundschaften