Logo von heise online

Suche
Gerald Himmelein 17

iPhone-Apps von Dropbox und Facebook angreifbar

Die Ende März von dem britischen Entwickler Gareth Wright entdeckte Lücke in der iOS-App von Facebook besteht – anders als von Facebook dargestellt – offenbar nicht nur nach einem Jailbreak. Die App speichert alle zur Anmeldung relevanten Zugangsdaten bei der Social-Media-Plattform in einer Textdatei. Kopiert man diese Datei auf ein anderes iPhone, übernimmt dieses die Zugangsdaten. Nicht nur Facebook ist betroffen: Die iOS-App des Online-Speicherdienstes Dropbox soll auf dem selben Weg verwundbar sein.

Anzeige

Facebook erklärte zuerst, die Sicherheitslücke gefährde nur iPhones, deren Besitzer ein Jailbreak durchgeführt hätten. Wright und das Online-Magazin The Next Web konnten jedoch bestätigen, dass sich die Daten über ein kostenloses Werkzeug wie iExplorer auch von iPhones ohne Jailbreak auslesen lassen. Wright mag sogar nicht ausschließen, dass das Problem auch die Android-Versionen der Apps betrifft.

Zum Auslesen der Datei mit den Authentisierungsdaten benötigt der Angreifer direkten Zugriff auf das Gerät. Wright nennt aber mehrere Angriffsmöglichkeiten – von einem Schadprogramm, das die Daten am PC ausliest und weiterversendet über eine modifizierte Ladestation bis zu einem kreditkartengroßen Gerät, mit dem sich die benötigte Datei innerhalb von zwei Sekunden kopieren lässt. Der in der Datei enthaltene Zugriffscode gilt für 60 Tage.

Gareth Wright sieht allerdings keinen Grund zur Panik. Als Sicherheitsmaßnahmen empfiehlt er, das iPhone per Kennwort zu schützen (nicht nur per PIN), die Funktion "Mein iPhone suchen" zu aktivieren und das Gerät nicht zu entsperren, während es an fremden Ladegeräten angeschlossen ist. (ghi)

17 Kommentare

Themen:

Anzeige
  1. Facebook integriert Dropbox in seinen Messenger

    Onlinespeicher Dropbox

    Nutzer des Facebook Messengers können schneller Dateien aus ihrer Dropbox versenden. Videos, Fotos und GIFs sind sofort in der Chat-Ansicht zu sehen.

  2. Facebook erweitert 3D-Touch-Integration – schrittweise

    Facebook

    Erste Nutzer können durch festeren Druck die neu in iOS integrierten Vorschaufunktionen Peek und Pop in der Facebook-App nutzen. Die Quick Actions erweitert Facebook ebenfalls.

  3. iOS 8.3 blockiert App-Dateimanager

    iOS 8.3 blockiert App-Dateimanager

    Verschiedene Desktop-Tools für OS X und Windows können durch das jüngste iOS-Update nicht länger auf die App-Dateien von iPhone und iPad zugreifen. Entwickler suchen nach Abhilfe.

  4. Fotocollagen: Instagram veröffentlicht neue iOS-App

    Fotocollagen: Instagram veröffentlicht neue iOS-App

    Nach Hyperlapse hat die Facebook-Tochter eine weitere von der Haupt-App getrennte Anwendung für iPhones vorgestellt. Layout soll beim Zusammenbauen von Bildkompositionen helfen.

  1. Brief-Deko

    Am Anfang war die Textnachricht, manchmal aufgepeppt durch Smileys. Heute kann man mit den richtigen Tools Nachrichten leicht durch Bilder, Fotos oder Videos einen persönlicheren Anstrich geben.

  2. App in der Freiheit

    Geld lässt sich verdienen, auch wenn man nicht fest in Lohn und Brot steht. Allerdings gibt es dann neben der eigentlichen Arbeit noch vieles zu tun. Leichter geht das mit diversen Apps für die mobilen Endgeräte.

  3. Energisch einschreiten

    Läuft Ihr iPhone oder iPad ungewohnt schnell leer, steckt vermutlich eine App dahinter, die mehr Dinge im Hintergrund erledigt als sie soll. Fortgeschrittene Nutzer kommen solchen Kandidaten auf die Schliche.

  1. Großbritannien: Google-Tochter DeepMind darf Millionen Patientendaten auswerten

    Spähprogramm

    Die Google-Tochter DeepMind hatte jüngst mit dem Erfolg ihrer KI im wohl öffentlichkeitswirksamsten Go-Spiel für Schlagzeilen gesorgt. In Großbritannien will sie bei der Gesundheitsvorsorge helfen und bekommt dafür Zugriff auf viele Patientendaten.

  2. Taxi per WhatsApp jetzt auch bei MyTaxi

    Taxi per WhatsApp jetzt auch bei MyTaxi

    Die Daimler-Tochter bietet ihren Nutzern ab sofort auch die Möglichkeit an, ein Taxi über den beliebten Messenger zu bestellen. MyTaxi hat auch einen Weg gefunden, wie Kunden dann bargeldlos bezahlen können.

  3. Router-Firmware: LEDE als offenere OpenWRT-Alternative

    Linksys WRT54G

    Weil die Weiterentwicklung beim freien Router-Betriebssystem OpenWRT stagniert, spalten mehrere Kernprogrammierer ihr eigenes Projekt ab. LEDE soll transparenter arbeiten und Bugfixes aus der Entwicklergemeinschaft zügiger übernehmen.

  4. Höflicher Erpressungstrojaner entschuldigt sich und bittet um Geschenke

    Höflicher Erpressungstrojaner entschuldigt sich und bittet um Geschenke

    Ein neuer Krypto-Trojaner geht um: Die Alpha Ransomware verlangt iTunes-Gutscheine vom Opfer, sonst bleiben die Daten mit AES-256 verschlüsselt. Der Erpresserbrief ist überraschend höflich, verschweigt allerdings wichtige Details.

Anzeige