Vertrauen für die Katz
iCloud-Passwörter & mehr: Der Sunrise-Kalender verliert seine Nutzerdaten
Da haben wir den Salat. Unter der Überschrift „Blindes Vertrauen – Kalender-App Sunrise fragt nach iCloud-Zugangsdaten“ haben wir am 17. Oktober über unsere E-Mail Kommunikation mit den Machern der Kalender-Applikation „Sunrise“ berichtet.
Aufgeschreckt von der dreisten In-App-Abfrage des persönliche iCloud Accounts, haben wir die Macher damals nach den Gründen befragt, die das Einsammeln persönlichen Login-Informationen rechtfertigen und um eine kurze Beschreibung der Sicherheitsarchitektur gebeten.
Die Antwort könnt ihr noch immer in unserem Artikel nachlesen. Man würde die Nutzer um die Eingabe ihrer iCloud-Daten bitten, um den Apple-Kalender über inoffizielle Kanäle zu synchronisieren. Die Stellungnahme damals:
Stattdessen verbinden wir uns direkt mit Apples Server und nutzen dazu den gleichen Weg, wie auch der iOS Standard-Kalender. […] Um dies zu ermöglichen, müssen wir deine iCloud Zugangsdaten speichern. Wir können dir versichern, dass wir dies auf die sicherste Art und Weise tun.
Während wir Mitte Oktober noch überlegt haben, ob wir uns mit der fettgeschriebenen Zwischenüberschrift „BITTE?!“ nicht vielleicht etwas zu sehr über die Aufforderung der App-Entwickler aufgeregt haben, den eigenen iCloud-Login einfach aus der Hand zu geben, glauben wir heute, dass wir wahrscheinlich noch lauter hätten rufen sollen.
So informiert das Hausblog der Sunrise-Macher zur Stunde über einen Angriff auf die eigene Nutzer-Datenbank. Während die übertragenen Logins von Google, Facebook und Twitter – nach nicht überprüfbaren Angaben der Sunrise-Verantwortlichen – derzeit noch in Sicherheit seien, werden alle Nutzer, die dem Sunrise-Kalender ihren iCloud-Account anvertraut haben, jetzt dazu aufgerufen ihr iCloud-Passwort zu ändern.
If you connected an iCloud calendar to Sunrise, even though we don’t store any credentials, the security breach may have put some of your calendar data at risk. As a precautionary measure, we recommend that you change your iCloud password and reconnect it to Sunrise […]
Grob übersetzt, darf derzeit davon ausgegangen werden, dass euer iCloud-Passwort (solltet ihr den Sunrise-Kalender eingesetzt haben) kompromittiert wurde.
14 Tage vom verschmitzten Achselzucken der Sunrise-Gründer, bis zum Datenverlust….
Danke Markus.
Unglaublich
Hm. Apple sollte sich drum kümmern, wenn da geschummelt wurde.
Was geht das Apple an?!?!?
Man sollte schon aufpassen, wo man was eingibt. Selber schuld also!
Richtig. Dennoch gehört so ein Entwickler dauerhaft aus dem AppStore verbannt.
Na ja, dazu muss es erst mal gemeldet werden. Die App an sich ist ja ok, wer seine Daten da eingibt ist selber Schuld! Du gibst deine privaten Daten ja auch nicht auf jeder xxx Seite freiwillig ein ;)
vorhersehbar…
wenn schon fette architekturen gehackt werden, sie playstation network, vodafone…
wichtige daten gibt man nicht raus!
Zur heutigen Zeit gibt es keine Sicherheit und schon gar nicht wenn es explizit garantiert wird.
Mein Mitleid mit denen, die es getan haben und nun die Gearschten sind, hält sich extremst in Grenzen… :-p
Das schlimme ist, das es vermutlich viele Nutzer geben wird denen nicht bewusst war wo diese Daten gespeichert werden…
Tja wer so intelligent ist und sein iCloud Passwort abgiebt ist selber schuld
Habe echt kein Mitleid ha ha
Die gleichen Vollpfosten, die ihr Mailpasswort bei Facebook eingeben …
Ich finde das unmöglich!
Vorallem da hier bestimmt einige Leute ihre Zugangsdaten eingegeben haben ohne dem aktiven wissen das diese Daten auf einem externen Server gespeichert werden!
Was auch unmöglich ist, das Apple bis jetzt – in den letzten 14 Tagen – noch nicht’s unternommen hat!
Bei den sonst so strengen und teils wahnwitzigen App Store Kontrollen darf soetwas nicht durchrutschen!
Spätestens jetzt muss Apple eingreifen!
Ich hoffe auch, das alle Nutzer das Ganze mitbekommen – den Blog werden wohl kaum alle lesen…
Nehmen wir mal an, Apple hätte sofort was unternommen, dann wären jene laut geworden, die „Zensur“ und bevormundende Geschäftspraktik untstellen.
Nun werden jene laut, die das Nichtreagieren anprangern, weil Apple gewartet hat.
Naja, müsste denn nicht eher dir Programmierer mal zur Rechenschaft gezogen werden, da sie sich der Sicherheit zuwenig widmeten? Bzw. Gegen Apples Richtlinien verstiessen? Das war ja Vorsatz und nicht Zufall.
Die „wahnwitzigen“ Kontrollen bei Apple beziehen sich leider ausschließlich darauf, ob irgendwo der Nippel einer weiblichen Brust zu sehen ist.
Darf eine App überhaupt nach den iCloud-Daten fragen? Apple reglementiert fast jedes wichtige Detail, würde mich sehr wundern, wenn das nicht auch in irgend einer Art und Weise erfolgt (BTW solche Daten gibt man nicht weiter, erfragt sie aber auch nicht).
Es ist ganz klar ein Verstoß gegen Apples Richtlinien, da auf eine undokumentierte API zugegriffen wird um eine Systemabfrage zu erzeugen, bei der die AppleID übergeben wird. Die korrekte Vorgehensweise wäre die zur Verfügung stehende API zum Zugriff auf den vorinstallierter Kalender indem die iCloud Daten in der geschützen Umgebung verbleiben.
Und es ist klar ein Fehler von Apples „Eingangskontrolle“ das zu übersehen
und woran lässt sich erkennen ob die abfrage vom ios also apple kommt oder vom jeweiligen entwickler der app?
Das erkennst Du daran, welche App danach fragt: AppStore, meine Freunde suchen usw. = alle Apps von Apple. Alle anderen = nicht von Apple.
Hört ihr euch selbst reden, wenn ihr Appe Vorwürfe macht?! Das wär so als gäbe ich meine EC-Karte samt PIN an eine fremde Person, welche kurze Zeit später überfallen wird und ich mach dafür meine Bank verantwortlich. Ganz einfach: Die AppleID ist für Apps von Apple (surprise!surprise!)
Dieses Beispiel ist vollkommen daneben. Korrekt wäre: Die Firma Sunrise baut in der Geschäftsstelle meiner Bank einen Stand auf, und bewirbt erweiterten Service wenn sie die Pin der Kreditkarte erhält.
Das macht deutlich dass die Bank sofort eingeschritten wäre und Sunrise aus der Geschäftsstelle entfernt hätte.
Apple hätte das tatsächlich nicht erlauben dürfen, und es fehlt offensichtlich eine entsprechende Richtlinie.
Dieses Beispiel ist vollkommen daneben. Korrekt wäre: Die Firma Sunrise baut in der Bahnhofshalle einen Bankomat auf, gibt dir eine neue gefertigte IC Karte, und bewirbt erweiterten Service wenn sie die Pin der Originalkarte erhält.
@Denner: Ich würde schon sagen, dass das Beispiel von Techland treffender ist. Schließlich wurde die Sunrise App über Apples App Store vertrieben, wo ja immer wieder betont wird, dass die Apps dort kontrolliert werden. Wenn es also eine App in Den AppStore schafft, bedeutet das für viele Anwender (all jene, die nicht diesen Blog lesen), dass die App von Apple kontrolliert wurde und wegen Unbedenklichkeit unter Apples Dach in Apples App Store zur Verfügung gestellt wurde. Von daher passt der Stand in der Bankfiliale als Beispiel schon. Ist ja nicht so, dass die Sunrise App am AppStore vorbei vertrieben wurde.
@cromax
Lass uns bitte nicht streiten welches Beispiel das bessere ist.
Ein großes Übel in der heutigen Gesellschaft, ist das Fehlen der Bereitschaft, Verantwortung zu übernehmen.
Schuldig ist der Staat, der Arbeitgeber, die Parteien, und so weiter und so weiter oder wie du schreibst, Apple ist schuld daran.
Warum höre ich so selten: “ da bin ich dran schuld?“
Wer nicht selber denkt und Verantwortung an andere abgibt, der ist selber schuld, falls es unerwünschte Konsequenzen gibt.
Wem der Finger nicht zuckt und wer keiner Magengeschwüre bekommt, wenn er eines der wichtigsten Passwörter auf dem iPhone an einen Dritten gibt, dem ist entweder nicht zu helfen oder er nimmt Missbrauch billigend in Kauf.
Meine iCloud Daten hatte ich zum Glück nicht angegeben,aber hab trotzdem heute morgen meinen sunrise Account gekündigt. Nein danke.
Das schlimme ist ja das man das iCloud Passwort ändern soll…und dann wieder sich mit Sunrise verbinden soll!
Die AppleID hat keiner. Außer Apple. Und das ist auch gut so.
Sorry, du musst ja nicht gleich weiter machen wie vorher. Wenn jemand aus Fehlern nichts lehrt …
À propos LERNEN: wenn jemand nichts aus Fehlern LERNT…
Hüstel, hüstel…
Die AppleID hat Kinder außer Apple? Was ist das denn für ein Quatsch. Zunächst einmal hast du natürlich deine eigene AppleID und Sunrise hat sie ebenfalls, denn was nützt ein Passwort ohne zugehörigen Account zum Datenabgleich? Die Geschäftspraktik sieht doch vor das ich Sunrise komplett vertraue und denen sowohl meinen Account mitsamt Passwort aushändige, nur weil die nicht auf die vorgesehene API über den iOS Kalender gehen wollen/können
Wiederlich, wie die Unfehlbaren ganz selbstverständlich den Opfern die Schuld geben.
Denk mal über deinen ach so schlauen Satz nach….
Ich vertraue vertrauliche Daten einer App an, die NICHT von Apple ist und deren Entwickler absolut keine positive Reputation haben, die dann auch noch vollmundig behaupten alles sei sicher…
Wie doof und naiv kann man eigentlich noch sein?
Der App Store ist eine Quelle für vertrauenswürdige Apps, die von Apple geprüft sind. Behauptet Apple. Dann muss Apple auch dafür sorgen, dass solche Apps nicht in Umlauf kommen.
Für weniger technikaffine kommen Apps eben von Apple. Ich finde deshalb aber dennoch nicht, dass man diese Nutzer deshalb als doof und naiv abstempeln muss.
Ich habe meine KK-Daten aus dem Apple-Account genommen – letztes Jahr. Selbst 1 Password vertraue ich nicht. Alles was in den Kopf kann, sollte auch dort verschlossen bleiben. Ist i d R der beste Tresor.
Ja, nur nutzen dir die Kreditkartendaten im Kopf nichts, wenn du damit im Store einkaufen willst. Auch wenn jemand Zugriff auf deine AppleID hätte, könnte er nicht damit einkaufen und die Informationen schon gar nicht auslesen.
Habe nach eurem artikel sicherheitshalber mal alle passwörter aktualisiert, die 2-factor authentication reingepackt und die finger von sunrise gelassen. Jetzt der artikel…
Danke für eueren Post vor 2 wochen!
Es lebe Stift & Papier. ;)
Sowas ist der Grund, warum ich Apps wie Outbank oder Services wie sofortüberweisung.de nicht nutze. Man gibt kritische vertrauliche Daten, mit denen sich mehr als Schabernack anstellen lässt, an eine (relativ) unbekannte Firma. Andererseits: 1Password vertraue ich auch, dass die Schlüssel zu meiner Login-, KK- und Ausweisdaten-Datenbank bei denen sicher sind… Grübel…
iCloud abschalten und KK-Daten auf Server, wie posteo.de auslagern. Der derzeit einzige mit neuem iOS gangbare Weg , halbwegs sicher mit den eigenen Daten umzugehen.
Wenn willst du denn jetzt veräppeln?
Apps die solche Daten von Nutzer abfragen (wollen) sollten gar nicht erst die Eingangskontrolle zum AppStore überwinden können.
Och, genau genommen niemanden. Ich würde hier nur gerne ein paar Köpfe entAPPLEn. :-)
posteo ist höchstens ein Ersatz für den Apple Mail Service, kann aber niemals die iCloud Dienste ersetzen. Und warum sollte man denen mehr trauen, als allen anderen?