Logo von heise online

Suche
17

iPhone-Apps von Dropbox und Facebook angreifbar

Die Ende März von dem britischen Entwickler Gareth Wright entdeckte Lücke in der iOS-App von Facebook besteht – anders als von Facebook dargestellt – offenbar nicht nur nach einem Jailbreak. Die App speichert alle zur Anmeldung relevanten Zugangsdaten bei der Social-Media-Plattform in einer Textdatei. Kopiert man diese Datei auf ein anderes iPhone, übernimmt dieses die Zugangsdaten. Nicht nur Facebook ist betroffen: Die iOS-App des Online-Speicherdienstes Dropbox soll auf dem selben Weg verwundbar sein.

Anzeige

Facebook erklärte zuerst, die Sicherheitslücke gefährde nur iPhones, deren Besitzer ein Jailbreak durchgeführt hätten. Wright und das Online-Magazin The Next Web konnten jedoch bestätigen, dass sich die Daten über ein kostenloses Werkzeug wie iExplorer auch von iPhones ohne Jailbreak auslesen lassen. Wright mag sogar nicht ausschließen, dass das Problem auch die Android-Versionen der Apps betrifft.

Zum Auslesen der Datei mit den Authentisierungsdaten benötigt der Angreifer direkten Zugriff auf das Gerät. Wright nennt aber mehrere Angriffsmöglichkeiten – von einem Schadprogramm, das die Daten am PC ausliest und weiterversendet über eine modifizierte Ladestation bis zu einem kreditkartengroßen Gerät, mit dem sich die benötigte Datei innerhalb von zwei Sekunden kopieren lässt. Der in der Datei enthaltene Zugriffscode gilt für 60 Tage.

Gareth Wright sieht allerdings keinen Grund zur Panik. Als Sicherheitsmaßnahmen empfiehlt er, das iPhone per Kennwort zu schützen (nicht nur per PIN), die Funktion "Mein iPhone suchen" zu aktivieren und das Gerät nicht zu entsperren, während es an fremden Ladegeräten angeschlossen ist. (ghi)

17 Kommentare

Themen:

  1. Sicherheitsloch im Dropbox-SDK für Android gestopft

    Sicherheitsloch im Dropbox-SDK für Android gestopft

    Durch eine Schwachstelle können Angreifer Apps mit Dropbox-Anbindung an ihren eigenen Dropbox-Account koppeln. Alle fortan hochgeladenen Dateien landen dann in der Dropbox des Angreifers.

  2. Die Geister, die ich rief: Netgear-Router über Genie-App angreifbar

    Die Geister, die ich rief: Netgear-Router über Genie-App angreifbar

    Eine Reihe von Netgear-Routerm plaudern durch die Schnittstelle für die Fernwartungs-App Genie wichtige Informationen über das eigene Netzwerk aus. Unter anderem können Angreifer aus dem Netz so Passwörter auslesen.

  3. Gravierende Sicherheitslücke im Blackphone geschlossen

    Gravierende Sicherheitslücke im Blackphone geschlossen

    Das Blackphone soll die Privatsphäre seiner Nutzer schützen und "Sicherheit auf dem höchsten Niveau" bieten. Jetzt wurde allerdings eine Sicherheitslücke veröffentlicht, mit der ein Angreifer sensible Daten auf dem Gerät auslesen und Code ausführen kann.

  4. Forensik-Software soll iOS-8-Geräte und Apple-ID-Zugangsdaten auslesen

    Forensik-Software soll iOS-8-Geräte und Apple-ID-Zugangsdaten auslesen

    Die jüngste Version von Elcomsoft Forensik-Tool soll auch Daten aus iPhones und iPads mit iOS 8 entwenden können, darunter die Apple ID und das zugehörige Passwort – allerdings nur unter bestimmten Voraussetzungen.

Anzeige