Das Blog WasWirMeinen hat ein Datensicherheitsproblem bei drei iPhone Programmen entdeckt. Zuerst fündig wurde man beim App Lufthansa Launcher aus dem Hause Lufthansa German Airline Obwohl in der Information festgehalten ist, dass die Login-Daten verschlüsselt auf dem lokalen Betriebssystem des iPhone abgelegt werden, so sind diese dann doch ganz normal leserlich und ohne Verschlüsselung zu finden.
Die Jungs von WasWirMeinen haben dann gleich noch weitere Apps kontrolliert und sind auch fündig geworden. Die Programme MobileButler und UsedBudget versprechen zwar nicht, dass irgendwelche Daten sicher abgelegt werden, dennoch sind die Passwörter als normaler, lesbarer Text hinterlegt.
Eine unschöne Sache! Hier hätte ich von Apple erwartet, dass wenn die Apps schon geprüft werden, nicht nur die Interessen von Apple sichergestellt werden, sondern eben auch solche Sicherheitslücken aufgedeckt werden. Schliesslich ist doch die Sicherheit eines der Hauptargumente von Apple wenn es darum geht Apps in den App Store zuzulassen oder eben auch nicht…
Zur Startseite
Ich finde das sowieso einen Horror, wie viele apps einem dazu einladen Benutzername und Passwort irgendwo einzugeben, damit man einen bequemen Zugriff auf eine Plattform hat – nun gut; die Leute sind wahrscheinlich auch bequem. Ohne zu wissen was mit den Login-Daten geschieht? Es gibt im app-store ja auch online banking Programme. Spätestens dort würde es weh tun! Nicht bei dem, wo es darum geht ein paar Fotos auf flickr zu laden. Kaputt gelacht habe ich mich, als Google einen Dienst anbot die eigene Krankengeschichte online zu speichern (nicht als app im app store, ist aber das gleiche Thema).
Also 3 ist wahrscheinlich untertrieben, und wer genau liest, merkt das sich das auf die Datensicherung des iPhones bezieht. Und oh Wunder auf meinem Rechner liegt mein Backup von meinem iPhone das ich auslesen kann. Da ist Jailbreaken viel gefährlicher, da kann jede (!) Anwendung auf alle Daten aller Programme zugreifen und auch auf laufende Prozesse…. Der “Bericht” ist pure Effekthascherei! Will da jemand etwa sein frisches Blog promoten?
Mit einem Schlüsselbund à la Mac OS X könnte man solche Probleme vermeiden … :->
@Renato
1) Von der Fiktion, der iPhone-App-Validierungsprozess sei auch nur im geringsten Teile zum Vorteile des Endkunden gedacht, würde ich mich bei nächster Gelegenheit bis auf weiteres verabschieden.
2) Versuch mal mit den offiziellen, vom ‘Big A’ erlaubten Mitteln Daten (d)einer App auf dem iPhone sinnvoll und effizient abzusichern und du wirst erkennen, weshalb ‘die von dir angesprochene Art von Sicherheitsmängel’ derzeitig von Apple wohl kaum beanstandet würden ;-)
Gruss,
MT