Passwörter über die Undo-Funktion einsehen
Neowin berichtet über eine kleine, aber potentiell “gefährliche” Sicherheitslücke im iPhone OS 3.0 die mittlerweile (also im vor kurzem veröffentlichten OS 3.1) behoben wurde. So erlaubt die - durch das Schütteln des Gerätes aktivierbare - Undo-Funktion des iPhones das schrittweise Auslesen zuvor eingegebener Passwörter. Buchstabe für Buchstabe lässt sich so, wie in diesem Youtube-Video demonstriert, auslesen.
“The trick works when a password field is present with a saved password in it, a user can delete one character at a time, starting from right to left and shake the phone, press “undo typing” to reveal the hidden character.”
So langsam bekommt man doch ein mulmiges Gefühl, was iPhone und Sicherheit angeht. Wenn ich von solchen Sicherheitslücken lese, mache ich mir ernsthafte Gedanken darüber, ob es aus der Sicherheitsperspektive vertretbar ist, weiter iOutBank etc. zu benutzen.
Aber das muss wohl jeder für sich selbst entscheiden.
(Melden!)
Direkt hier Antworten...
# Dpkueppers anwortet am 14. Sep um 15:01:
Kein System ist sicher, und dass das Problem mit den letzten Updates schon behoben wurde, ist mehr, als man von Monate lang offenen Scheunentoren unter Windows kennt.
Wenn ich dann vor der Entscheidung stehe, auf welchem Betriebssystem ich ein solches Bankkonto-Verwaltungsprogramm verwende, wüsste ich immerhin den Taskwildwuchs eines WindowsMobiles/CE zu meiden, wo man grundsätzlich nie weiss, welche App sich die eingegebenen Informationen greift und weiter leitet…
(Melden!)
Direkt hier Antworten...
Solange das nicht bei gespeicherten Passwörtern geht…
(Melden!)
Direkt hier Antworten...
geht aber auch bei denen soweit ich das verstanden und auf weiteren blogs gelesen habe
(Melden!)
Direkt hier Antworten...
wo soll da jetzt ein große Lücke gewesen sein ? Mein IPhone liegt eigentlich nicht so einfach rum - wo hab ich es nur wieder hingelegt
(Melden!)
Direkt hier Antworten...
# Mr.C anwortet am 14. Sep um 14:30:
Was ist mit Diebstahl oder doch mal nem Verlust? Mir ist es z.b. du nervig immer diese Passwortabfrage am Anfang zu haben.
(Melden!)
Direkt hier Antworten...
Ist das wirklich eine Sicherheitslücke oder muss da nur wer ein imaginäres Sommerloch füllen?
Damit sowas ausgenutzt werden kann, müssen schon ziemlich viele Umstände zusammenkommen:
- der “Hacker” muss erstens wen finden, der in sein iphone ein Passwort eingegeben hat
- dann muss er genau den Zeitpunkt erwischen, nachdem das Passwort komplett ist, aber bevor der “OK”, “Login” oder “Wasauchimmer” Button gedrückt wird
- dann muss er sich des iphones bemächtigen - in genau diesem Moment
- und dann kommt die schwierigste Aufgabe - er hat nur ziemlich genau eine Minute Zeit, mit der Undo-und-Schüttel-Aktion anzufangen, sonst schaltet das Teil nämlich ab und der Einbruch ist vorbei, bevor er richtig angefangen hat
- und das ganze, versteht sich, ohne jegliche Gegenwehr des regulären Besitzers.
Fazit: Nette Meldung, aber ohne Substanz im richtigen Leben.
(Melden!)
Direkt hier Antworten...
# Peter anwortet am 14. Sep um 14:05:
Du hast es halt nicht kapiert.
Bekomme ich Dein iPhone in die Hand und Du nutzt z.B. UsedBudget öffne ich das Program, gehe in’s Setup und mache da den Trick mit Deinem t-mobile Passwort, schon hab ich das.
Und zwar egal, wann Du das eingegeben hast usw.
Geht (ging) vermutlich mit so ziemlich jedem Passwort (VPN, Apps, gespeicherte Formulardaten?! usw.)
(Melden!)
Direkt hier Antworten...
# Yuck Fou! anwortet am 14. Sep um 17:41:
Um zu deinem Bsp mit usedbudget zurückzukommen, hab’s grad mal probiert und solange man keine Änderung getätigt hat also das Passwort ist noch verschlüsselt zu sehen dann gibt es nix zu wiederrufen beim schütteln da nix geändert wurde.
(Melden!)
# Yuck Fou! anwortet am 14. Sep um 18:02:
scheisse nein, hab mich geirrt…hätte mir vorher das video ansehen solln
(Melden!)
Empfinde ich persöhnlich nicht als Sicherheitslücke. Zudem soll das Problem in der 3.1er schon behoben sein.
Also warum sich darüber sogern machen?
(Melden!)
Direkt hier Antworten...
# Mr.C anwortet am 14. Sep um 14:31:
Das ist der Sinn des verspäteten veröffentlichen von solchen Sicherheitslücken, damit nicht Hinz und Kunz das wissen.
(Melden!)
Direkt hier Antworten...
Klar ist das nicht unbedingt ein großes Problem, ein grober Designschnitzer ist es aber allemal.
Apple, einmal schämen bitte.
(Melden!)
Direkt hier Antworten...
lese gerade das erste mal von dieser undo schüttelfunktion…
(Melden!)
Direkt hier Antworten...
Dies kann mit jedem einzelnen Buchstaben wiederholt werden, außer mit dem letzten.
(Melden!)
Direkt hier Antworten...
bei mir klappt es überhaupt nicht … liegt wohl an 3.1
(Melden!)
Direkt hier Antworten...
Mal ne Frage an euch. Warum will mein iPhone mit 3.0 und jailbreak alle 5 min mein iTunes Passwort?
(Melden!)
Direkt hier Antworten...
# imfartookind anwortet am 14. Sep um 14:23:
Weil du alle 5 min. etwas kaufst?
(Melden!)
Direkt hier Antworten...
# Nemesis anwortet am 14. Sep um 14:25:
Ne kauf ja nichts … Geht den ganzen Tag so
(Melden!)
# Anonymous anwortet am 14. Sep um 14:33:
weil es wahrscheinlich ein app laden will und du jedes mal abbrechen klickst oder keine netzverbindung hast!?
(Melden!)
Direkt hier Antworten...
# Nemesis anwortet am 14. Sep um 14:45:
Nee er lädt nichts ist irgendwie seltsam alle AppStore sind auch auf den neusten stand
(Melden!)
# Benne anwortet am 14. Sep um 15:25:
Hatte das Problem auch. Mit 3.1 aber weg!
(Melden!)
Direkt hier Antworten...
Echt schlimm mit den Lücken so einfach und simpel
(Melden!)
Direkt hier Antworten...
sagtmal jungs….
ich hab mein per zufallsgenerator vergebenes passwort von der firma vergessen und hab mich grade gefreut wie n kleines kind über diese meldung… nur wie mach ich das mit dem ersten buchstaben??? da klappt der “trick” ja ned…
(Melden!)
Direkt hier Antworten...
# Kevin anwortet am 14. Sep um 16:44:
Probier alle Kombinationen aus, so viele sind das ja nicht.
(Melden!)
Direkt hier Antworten...
wieso schüttelt der sin iphone so stark!?also ich geb mein iphone eh seltend an andere un bei gespeicherten pws gehts net..is quatsch eeil gespeichert is gespichert also kann sich eh jeder einloggen..weils ja gespeichert is
(Melden!)
Direkt hier Antworten...
# Kevin anwortet am 14. Sep um 16:46:
So kann derjenige aber dein Passwort vom E-Mail Account klauen und von zu Hause aus deine Mails ausspionieren oder sich dadurch auf diversen Seiten einloggen.
(Melden!)
Direkt hier Antworten...
Hab’s heute mit dem pc meines Chefs probiert.
Erstens tun mir jetzt die arme weh vom schütteln des pcs, zweitens ist nun der pc defekt und hat nur bissle geklappert. War nicht so lustig…
Sah bescheuert aus…geht glaub nur mit Apple.
Oder darf ich nur die Tastatur oder den Monitor schütteln?
Ach ja mit Hirn 2.0 wär mir das nicht passiert.
Um nochwas sinnvolles beizutragen:
3.1er 3gs wird nur nen
Punkt angezeigt nach undo.
wenn man nen Bug finden mag, findet man Au einen. Seid doch froh sonst gäbe es kein jb.
Und wer weiß vielleicht muss man bei os 4.0 das geraet nach Norden ausrichten und 1234mal schluetteln damit, die accel. API abstürzt und so Zugriff freigibt
(Melden!)
Direkt hier Antworten...
# Karl-Heinz anwortet am 14. Sep um 18:31:
Hahahah du opfa
(Melden!)
Direkt hier Antworten...
^^
(Melden!)
Direkt hier Antworten...
das wird für 0.000000001% in Frage kommen
(Melden!)
Direkt hier Antworten...