iPhone-Apps und die Sicherheit: Passwörter im Klartext bei Lufthansa, Mobilebutler und anderen
rj, den 17. März 2009Der Verlust eines iPhones bedeutet nicht nur den der teuren Hardware. Unter den zahlreichen Daten, die ein modernes Smartphone speichert, befinden sich je nach den verwendeten Apps auch mehr und mehr sicherheitskritische Account- und Zugangsdaten. Neben Szenarien zum Identitätsdiebstahl könnte auch teurer Missbrauch von Diensten drohen. Diverse Apps speichern auf dem iPhone Passwörter und Zugangsdaten im Klartext ab, und im schlimmsten Fall sollte man das nicht vergessen. Betroffen sind unter anderem der Lufthansa Launcher und die populäre Hotspot-App Mobilebutler. Holger Frank, seines Zeichens MobileButler-Entwickler, gab uns Antwort auf einige dadurch aufgeworfene Fragen.
So richtig ist das Problem nicht auf dem Schirm: zahlreiche Apps speichern persönliche Daten, bis hin zu Kreditkartendaten oder Zugangskennungen für diverse Onlinedienste. Solang man sein iPhone in der eigenen Tasche behält, ist das kein Problem. Was aber passiert im Verlustfall? Schlimmstenfalls bekommt das Smartphone einen Jailbreak verpasst und alle verfügbaren persönlichen Daten werden abgegriffen. Die liegen mitnichten alle in einem verschlüsselten Schlüsselbund, sondern werden gelegentlich schlicht als Klartext abgelegt.
Die Lufthansa-App LH Launcher verspricht zwar das „verschlüsselte Speichern“ im „Betriebssystem des iPhone“, davon kann jedoch keine Rede sein. Das Auslesen der eingegebenen Zugangsdaten konnten wir problemlos nachvollziehen. Accountdaten für die Lufthansa-eTickets oder das Miles and more-Programm stehen im Klartext in einem nicht allzu schwer zu findenden File auf dem iPhone. SFTP-Verbindung und ein Texteditor der Wahl reichen für das Auslesen der Daten aus, man braucht nicht einmal den nebenan verwendeten Backup Extractor.
Ähnlich verhält es sich mit MobileButler – zum Aufspüren von Hotspots und der Verwaltung der Datentarife bei T-Mobile benötigt das Programm die T-Mobile-Zugangsdaten des Nutzers. Diese wird im Programm eingegeben und ebenfalls nicht verschlüsselt abgelegt – ein Manko, das Entwickler Holger Frank in Kürze behoben wissen will. Die bereits angekündigte Version 3.0 des Programms soll die Zugangsdaten im iPhone-Schlüsselbund ablegen. Frank konkret:
„Version 3.0 wird das nächste geplante Update. Es wird nach momentanem Stand die nächsten 8-14 Tagen verfügbar sein. Leider ist momentan die Durchlaufzeit im App Store nur schwer abschätzbar, deshalb können wir keinen genaueren Termin nennen. … Mit Version 3.0 werden wir die sicherheitsrelevanten Daten wie Login und Passwörter im iPhone-Schlüsselbund abspeichern.“
Holger Frank
Bis dahin liegen auch die Accountdaten des MobileButler im Klartext vor – kein großes Ding, solang das iPhone bzw. ein Backup nicht in falsche Hände gerät (auch wenn es sich nebenan anders anhört). Falls ein unbefugter Dritter aber Zugriff auf iPhone oder Backup kriegt, braucht er nur zu wissen, wo die Passwörter stehen.
Die Problematik wird im Fall Mobilebutler angegangen, die Version 3.0 steht bereits weitgehend in den Startlöchern. Frank dazu:
„Da wir als App-Entwickler natürlich ein Interesse daran haben, möglichst sichere Applikationen zu entwerfen und es natürlich auch möglich ist, dass mit gewisser krimineller Energie und Sachkenntnis die Daten auf dem iPhone auch ausgelesen werden könnten, stellen wir uns natürlich der Verantwortung, die Sicherheit nochmals zu erhöhen.“
Holger Frank
Allgemein sieht er jedoch im Fall des Verlusts oder Diebstahls in erster Linie die Problematik beim Zugang Dritter auf E-Mails, Kalender, Kontakten, Notizen und andere Anwendungen. Auch auf Userseite werden in erster Linie diese Daten zum Kopfzerbrechen führen, tritt der Worst Case ein. Es dürfte sich anschließend trotz allen Ärgers aber auch lohnen, an die anderen Apps zu denken, die man installiert und mit Daten gefüttert hat – die könnten in den falschen Händen auch für die eine oder andere böse Überraschung taugen. Betroffen von dem Problem werden zwar nur wenige Leute sein – diese jedoch wünschen sich nach einem iPhone-Verlust mit Sicherheit alles andere als weitere Probleme durch geleakte Accountdaten.