Fast wie Sicherheitslücken…: Panikmache mit Offensichtlichem [Upd.]

Wohl auch um die Besucherzahlen des gerade aufgesetzten Blogs „WasWirMeinen“ zu pushen, setzt man sich unter der gleichnamigen Domain seit knapp einer Woche mit mehr oder weniger sicherheitsrelevanten Themen rund um das iPhone auseinander. So haben sich die Bog-Betreiber Mitte des Monats in einer offenen eMail an den Bundesdatenschutzbeauftragten gewandt, um nach der Legalität des von PinchMedia angebotenen Analyse-Frameworks für iPhone-Entwickler zu fragen. Ein Auszug:

„Also: ich kaufe eine Software, und wenn ich die benutze, verrät diese Software, dass ich sie benutze und wie, aber ich weiß das gar nicht, dass diese Software das alles verrät und mir dabei sogar Kosten verursacht. Ich muss/kann mir auch gar nicht denken, dass diese Software so etwas tun könnte, weil das nämlich völlig abgedreht ist. […] Ich frage Sie: Ist das legal? (Kann ich mir nicht vorstellen.) Und falls das nicht legal ist: Wie schnell können Sie das abstellen?“

Unabhängig davon, dass uns PinchMedia bereits eine Hand voll interessanter Statistiken zum Einsatz und der Verbreitung unterschiedlichster iPhone-Applikationen beschert hat, finden wir die Anfrage nicht nur ziemlich holprig formuliert, auch ihr Nutzen erschließt sich uns, selbst beim dritten Lese-Durchgang, nicht. Medialets sammelt ähnliche Daten und dürfte, spätestens mit diesen Erkenntnissen, das Entwickler-Bewusstsein für mehr Abwärtskompatibilität geschärft haben. Win-Win, oder?

Doch weiter im Text. Nach den Anfragen bei Apple und dem Bundesdatenschutzbeauftragten (inklusive Reminder) hat man sich mit dem ( hier von uns vorgestellten – hier eine Alternative ) „iPhone Backup Extractor“ auseinander gesetzt – genauer gesagt mit den von iTunes angelegten Backup-Dateien. Und auch hier gibt man sich nicht nur irritiert über die im Backup gefundenen „persönlichen Daten“, sondern macht aus den – wohlgemerkt nur dem eigentlichen iPhone-Besitzer zugänglichen – Daten wie Browser-History und intelligentem Wörterbuch ein Sicherheitsrisiko:

„Tipp für alle neugierigen Eltern: der Backup Extractor kann sein Kunststückchen auch mit den Backups des iPod Touch. Das ist cool, oder? Mal ganz leise gucken, was die Brut so textet und wohin sie surft? Oder sollte ich besser die Eltern mit den iPhones vor den technisch versierten Kids warnen? Gegen die unzähligen vollkommen unverschlüsselten Backups, die auf ungesicherten Rechnern und in Firmennetzwerken auf ihre Entdeckung durch neugierige Laien warten, ist diese alte Story harmlos.“

Einmal warm geworden mit dem Backup Extractor dürfte „WasWirMeinen“ letztlich doch noch eine marginal interessante Entdeckung zu Tage gefördert haben. Ein Hand voll Applikationen (unter anderem MobileButler, UsedBudget und die hier vorgestellte App der Lufthansa) legen die vom Nutzer eingegebenen Passwörter im Klartext im Dateisystem des iPhones ab. Meist eingebettet in die von der Applikation angelegten plist-Dateien lassen sich die Login-Daten für „Mein T-Mobile“ so, relativ problemlos auslesen. Den Zugriff auf das iPhone-Backup natürlich vorausgesetzt.

Wir haben nachgefragt: MobileButler-Entwickler Holger Frank kündigt bereits mit der nächsten Version die Verschlüsselung der eingegebenen Benutzer-Daten an. Doch mal ehrlich: Wozu die ganze Aufregung?

Update: Wir bekommen die Bestätigung gerade per Mail. Auch bei UsedBudget wird man in der kommenden Version mit verschlüsselten Passwörtern arbeiten. /Update Ende