Blindes Vertrauen: Kalender-App „Sunrise“ fragt nach iCloud-Zugangsdaten
Mit euren iCloud-Zugangsdaten lässt sich mittlerweile allerhand anstellen. Habt ihr eine Kreditkarte in eurem Apple-Konto hinterlegt, können Einkäufe im iTunes Store getätigt werden. Das Fernlöschen registrierter Geräte ist ebenso möglich wie der Vollzugriff auf euer E-Mail Archiv.
Kurzum: Die Zugangsdaten zu eurem iCloud-Account, sollten eigentlich niemals aus der Hand gegeben werden. Nicht im Freundeskreis, nicht an den Apple-Support, nicht an euren Mobilfunkbetreiber. iCloud-Nutzername und Passwort sind in eurem Kopf, zusätzlich vielleicht noch in einem vollverschlüsselten Passwort-Manager gut aufgehoben.
Und ja, es gibt einen Anlass, der uns heute motiviert hat, noch mal in der Grundlagenschule vorbeizuschauen: Die populäre Kalender-Applikation Sunrise.
Erst vor kurzem in Version 2.0 erschienen, elegant gestaltet und mit durchaus guten Benutzer-Bewertungen versehen, wurden wir heute auf eine merkwürdige Abfrage während der Sunrise-Konfiguration hingewiesen: Um den iCloud-Kalender Apples zu integrieren bittet euch der Termin-Verwalter um die Eingabe der persönlichen iCloud-Zugangsdaten.
Wie es das unschuldige Formular, in das eure Apple-ID und euer Passwort eingegeben werden sollen, an Apples App Store Kontrollteam vorbei geschafft hat, können wir uns nicht erklären. Die (immerhin vorhandene) Infobox „Unsere Sicherheits-Verpflichtung“ versucht die Eingabe zu erklären, bleibt aber schwammig:
„Andere Kalender-Apps sind auf Apples Kalender-Datenbank angewiesen um eure Termine auszulesen. Diese Methode bietet jedoch wenig Platz für Innovationen“
Ist aber, wenn wir dies kurz einwerfen dürfen, die einzig offiziell von Apple abgesegnete Methode, die Dritt-Apps beim Kalender-Zugriff nutzen sollten. Nicht zuletzt, da nur die Anwendungen die auf Apples offizielle Schnittstelle setzen auch in den Datenschutzeinstellungen des iPhones auftauchen. Weiter im Text:
„Stattdessen verbinden wir uns direkt mit Apples Server und nutzen dazu den gleichen Weg, wie auch der iOS Standard-Kalender. […] Um dies zu ermöglichen, müssen wir deine iCloud Zugangsdaten speichern. Wir können dir versichern, dass wir dies auf die sicherste Art und Weise tun.“
Bitte?!
Grob übersetzt fordert euch der Sunrise-Kalender also dazu auf, den eigenen Login aus der Hand zu geben, um damit auf nicht dokumentierte Schnittstellen zuzugreifen und fasst seine komplette Sicherheitsarchitektur mit einem beschwichtigenden „Mach dir keine Sorgen, wir haben das im Griff“ zusammen.
(Direkt-Link)ifun.de hat die Sunrise-Macher um eine Stellungnahme gebeten.
Wir wollten wissen wie eure Login-Daten gesichert, genutzt und übertragen werden. Außerdem von Interesse: Welches Verfahren nutzt Sunrise um mit Apples Servern zu sprechen? Warum setzen die Macher nicht auf etablierte Login-Abfragen wie z.B. OAuth?
Die Antwort der Sunrise-Macher trudelte schnell, leider aber frei von substanziellen Informationen bei uns ein. So äußerte sich der Sunrise Mitgründer und CEO ifun.de gegenüber:
Wir speichern die iCloud Kontodaten nicht, wir tauschen diese nur gegen einen „Secure Token“ von Apple aus. […] Anschließend nurtzen wir die iCloud API um an die Informationen zu kommen. Auch ich würde mir wünschen, dass Apple hierfür eine ordentliche Dokumentation oder auch die OAuth-Unterstützung anbieten würde, aber dies ist noch nicht der Fall :-)
Sympathisch, aber die zwei hastig geschriebenen Absätze lassen sich auch anders lesen: Sobald ihr euren iCloud-Login in das Formular der Sunrise-App getippt habt, können die Macher der Kalender-App auf euer Konto zugreifen. Vielleicht werden die Daten gespeichert, vielleicht nicht. Eine offizielle Dokumentation bieten die Macher jedenfalls nicht an und gehen ifun.de gegenüber auch nicht auf die Fragen zum Transfer der Informationen ein.
Auch die Kommunikation mit Apples Servern, vorbei an den offiziellen Schnittstellen, steht auf äußerst wackeligen Füßen.
Wir können euch derzeit nur vom Sunrise-Einsatz abraten. Falls es schon zu spät ist, ändert euer iCloud-Passwort.
Zur Verifizierung muss man dann den Entwicklern auch noch seine EC-Karte inklusive PIN zuschicken.
Kreditkarte reicht auch.
Also das geht mal garnicht.
Astrein. Das wird ja immer besser! Echt unglaublich.
ein Skandal
Toller Artikel. Weiter so!
Unroll.me arbeitet ebenfalls so
Es können doch sogar im Apple Store Einkäufe getätigt werden oder?
Könnt ihr eigentlich in Sachen Sicherheit auch noch mal Addyet anschreiben?
Danke für den Hinweis. Da haben wir gleich wieder ein Schmunzeln auf dem Gesicht.
Da kann aus „sunrise“ schnell „surprise“ werden
Btw wer Smileys in solchen Stellungsnahme E-Mails verwendet ist eh schon unten durch…
Genau das habe ich mir auch sofort gedacht. Seriös ist anders…
Es würde mich etwas wundern, wenn Apple beim Zulassungsprozess nicht drauf geachtet hätte, dass die ID nicht von der App abgefragt und gespeichert wird.
Siehe Zugriff auf das Adressbuch: Man kann einer App den Zugriff auf das Adressbuch verweigern, aber dennoch kann man einen Text oder Anhang an jemanden per Email schicken. Dazu wählt man dann die Adresse aus dem Adressbuch. Wie soll das gehen, wenn man der App den Zugriff verweigert hatte? Ganz einfach. Es wird eine Systemfunktion zum Versand der Email aufgerufen. Und das System hat natürlich ein Zugriff auf das Adressbuch, aber die App weiterhin nicht.
Das ist vermutlich ein analoges Beispiel zu diesem Fall.
Und wer steckt da wohl dahinter!? Google, Facebook usw…
Magst du das bitte erläutern? Was weißt du, was wir nicht wissen?
Oder wolltest du nur mal kurz auf „die da oben“ oder so schimpfen?
Paranoia ist in in gleichem Maße naiv wie Gutgläubigkeit. Sie ist allerdings noch dümmer, weil sie sich für weise hält.
Unfassbar, was sich die Sunrise Macher da erlauben. Spätestens wenn wieder irgendein Server gehackt wird (und warum sollte es hier nicht mal der Sunrise Server sein?) ist das Geschrei groß.
Vielen herzlichen Dank iFun für diese Informationen.
Na da hat sich das Team dahinter aber mal so richtig disqualifiziert! Danke für den Artikel.
Interessant, dass ihr vor sunrise warnt, aber die App dennoch für einen komfortablen download verlinkt.
Ansich gefällt uns die App und man kann in Sunrise auch auf iCloud verzichten und stattdessen mit Google Calendar arbeiten.
Ich kann die Entscheidung der Entwickler, direkt auf iCloud zuzugreifen, nachvollziehen. Mehr Informationen zur technischen Umsetzung und ein Blogpost zu diesem Schritt wären aber schon nötig.
Skandal der Güteklasse A!
Die USA braucht Geld :D
Ist es bei all den Google mail und Kalender Apps nicht genau so?
Wer Kreditkartendaten zum Einkauf bei Google hinterlegt hat, läuft doch in die Selbe Falle.
Unabhängig davon das der hier genannte Zugriff eigentlich nicht erlaubt ist.
Eben, aber das darfst du den Fans hier nicht sagen. Sie haben kaum Überblick, wo sie sich schon mit ihrer Google-ID angemeldet haben. Denn sie haben solche Dummheiten längst als unvermeidlich und „normal“ akzeptiert.
Und Google scannt Docs- und E-Mail-Inhalte ganz offen — nur die wenigsten stört es, sie hätten ja nichts zu verstecken.. etc. pp.
Redest Du von den hier übermässigen Googlefans hier im Forum? Oder meinst Du die Apple-fans, die sich hier gerade kollektiv über Apples Versagen aufregen? Sollten die endlich begreifen, dass Google auch Daten erfasst? Irgendwie werde ich das Gefühl nicht los, dass Du Deinen Satz: „Eben, aber das darfst du den Fans hier nicht sagen.“ als Baustein fertig hast und immer mal raus haust, egal ob´s grad passt.
rätsel, rätsel
Joaa, das Problem gibt es auch an anderen Stellen. Hm, und jetzt? Das widerspricht doch nicht dem Artikel, oder? Dass andere auch am Rande der Legalität und weit dahinter arbeiten, ist doch kein Trost.
Es wäre ja zu klären, ob die iCloud Daten auch das iOS Gerät verlassen.
Wenn sich Sunrise mit den Daten bei iCloud anmeldet und dort synchronisiert, bedeutet das noch lange nicht, das die Zugangsdaten auch zu den Entwicklern übertragen werden.
Erst wenn das der Fall wäre, würde ich das als problematisch ansehen.
Gebe ich aber auch bei 3rd Party- Mail-Apps meine Login-Daten raus? Darüber sollte man auch mal diskutieren… ;-(
Oder bei den ganzen Passwort Managern. Oder Online Banking Apps.
Gesundes Misstrauen ist ja gut. Aber nicht gleich Panik machen.
Der Kalender bietet nicht annähernd das was Calendar 5 kann. Da erübrigt sich schon jede Diskussion. Und die Apple ID ist heilig! Basta
Wozu braucht man eine Kalender App wenn doch schon eine vorhanden ist? Mumpitz