FaceTime für Mac: Sicherheitslücken gefährden Apple-ID

kg, den 21. Oktober 2010
FaceTime für Mac
FaceTime für Mac, Icon

Während sich viele Nutzer über die Möglichkeit von FaceTime auf dem Mac freuen und bereits fleißig mit Bekannten auf iPhone 4 und iPod touch 4G videotelefonieren, sollten sie sich die Sicherheitslücken in der Software genauer anschauen: Auf einfachem Wege kann man vollen Zugriff auf die angegebene Apple-ID bekommen.

Unsere Bedenken an den Sicherheitseinstellungen begannen heute morgen, als uns Gernot auf die Einstellungen der Software hinwies: Hat man sich einmal bei Facetime eingeloggt, kann man über das Einstellungs-Menü die Accounteinstellungen für alle in der Anwendung hinterlegten Accounts einsehen.

Dazu gehören nicht nur der Nutzername oder der Ort, sondern auch die Sicherheitsfrage für den Passwort-Reset sowie die dazugehörige Antwort – in Plain Text, ohne weitere Absicherung. Gleiches gilt für das Geburtsdatum. Das Problem daran: Sicherheitsfrage und -Antwort sowie Geburtsdatum (inklusive Geburtsjahr) sind die einzigen Informationen, die man für das Zurücksetzen des Apple ID-Passwortes braucht.

Wir haben den Vorgang des Zurücksetzens mal nachgespielt:

Auch ohne die Lücke ist das Vorgehen beim Zurücksetzen des Passworts eindeutig fragwürdig – wer eine der vorgegeben Fragen als Sicherheitsfrage wählt, muss mindestens damit rechnen, dass Bekannte und Familie die Antwort wissen könnten. Dennoch ist die Klartext-Anzeige von Geheimfragen-Antwort sowie anderen sensiblen Daten alles andere als positiv zu bewerten. Zudem gibt es keine Möglichkeit, die Sicherheitsfrage aus den Einstellungen zu entfernen, ebensowenig wie die Option, das Zurücksetzen des Passworts mit Hilfe der Sicherheitsfrage direkt bei Apple zu deaktivieren.

Ein zweites Problem tut sich beim Ausloggen auf: Wählt man bei Facetime die Option „Abmelden“ aus, wird man zwar ausgeloggt, allerdings bleibt das Passwort im dazugehörigen Feld.

Dies ist auch der Fall, wenn man sich ausloggt und die Anwendung hinterher beendet und neu startet. Grundsätzlich sollte es so sein, dass das Passwort standardmäßig aus der Eingabezeile entfernt wird, sobald man die Anwendung beendet.

Grundsätzlich gilt: Man sollte seinen Rechner niemals offen irgendwo stehen lassen, wo andere Zugriff darauf haben – dennoch sollte es Standard sein, dass das Passwort nach dem Ausloggen aus dem Feld entfernt wird.

Update 22. Oktober 10:00 Uhr: Apple hat den Fehler mittlerweile übergangsweise behoben und die Abfrage serverseitig geblockt. Klickt man auf das Account-Menü passiert nichts mehr, die Anzeige springt zurück auf die Account-Übersicht.


Ähnliche Nachrichten