iphone-ticker.de — Alles zum iPhone. Seit 2007. 21 819 Artikel
   

Passwörter über die Undo-Funktion einsehen

Artikel auf Google Plus teilen.
31 Kommentare 31

Neowin berichtet über eine kleine, aber potentiell „gefährliche“ Sicherheitslücke im iPhone OS 3.0 die mittlerweile (also im vor kurzem veröffentlichten OS 3.1) behoben wurde. So erlaubt die – durch das Schütteln des Gerätes aktivierbare – Undo-Funktion des iPhones das schrittweise Auslesen zuvor eingegebener Passwörter. Buchstabe für Buchstabe lässt sich so, wie in diesem Youtube-Video demonstriert, auslesen.

„The trick works when a password field is present with a saved password in it, a user can delete one character at a time, starting from right to left and shake the phone, press „undo typing“ to reveal the hidden character.“

Montag, 14. Sep 2009, 13:42 Uhr — Nicolas
31 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • So langsam bekommt man doch ein mulmiges Gefühl, was iPhone und Sicherheit angeht. Wenn ich von solchen Sicherheitslücken lese, mache ich mir ernsthafte Gedanken darüber, ob es aus der Sicherheitsperspektive vertretbar ist, weiter iOutBank etc. zu benutzen.
    Aber das muss wohl jeder für sich selbst entscheiden.

    • Kein System ist sicher, und dass das Problem mit den letzten Updates schon behoben wurde, ist mehr, als man von Monate lang offenen Scheunentoren unter Windows kennt.
      Wenn ich dann vor der Entscheidung stehe, auf welchem Betriebssystem ich ein solches Bankkonto-Verwaltungsprogramm verwende, wüsste ich immerhin den Taskwildwuchs eines WindowsMobiles/CE zu meiden, wo man grundsätzlich nie weiss, welche App sich die eingegebenen Informationen greift und weiter leitet…

  • Solange das nicht bei gespeicherten Passwörtern geht…

  • geht aber auch bei denen soweit ich das verstanden und auf weiteren blogs gelesen habe

  • wo soll da jetzt ein große Lücke gewesen sein ? Mein IPhone liegt eigentlich nicht so einfach rum – wo hab ich es nur wieder hingelegt *hae*

  • Ist das wirklich eine Sicherheitslücke oder muss da nur wer ein imaginäres Sommerloch füllen?

    Damit sowas ausgenutzt werden kann, müssen schon ziemlich viele Umstände zusammenkommen:

    – der „Hacker“ muss erstens wen finden, der in sein iphone ein Passwort eingegeben hat

    – dann muss er genau den Zeitpunkt erwischen, nachdem das Passwort komplett ist, aber bevor der „OK“, „Login“ oder „Wasauchimmer“ Button gedrückt wird

    – dann muss er sich des iphones bemächtigen – in genau diesem Moment

    – und dann kommt die schwierigste Aufgabe – er hat nur ziemlich genau eine Minute Zeit, mit der Undo-und-Schüttel-Aktion anzufangen, sonst schaltet das Teil nämlich ab und der Einbruch ist vorbei, bevor er richtig angefangen hat

    – und das ganze, versteht sich, ohne jegliche Gegenwehr des regulären Besitzers.

    Fazit: Nette Meldung, aber ohne Substanz im richtigen Leben.

    • Du hast es halt nicht kapiert.
      Bekomme ich Dein iPhone in die Hand und Du nutzt z.B. UsedBudget öffne ich das Program, gehe in’s Setup und mache da den Trick mit Deinem t-mobile Passwort, schon hab ich das.
      Und zwar egal, wann Du das eingegeben hast usw.

      Geht (ging) vermutlich mit so ziemlich jedem Passwort (VPN, Apps, gespeicherte Formulardaten?! usw.)

      • Um zu deinem Bsp mit usedbudget zurückzukommen, hab’s grad mal probiert und solange man keine Änderung getätigt hat also das Passwort ist noch verschlüsselt zu sehen dann gibt es nix zu wiederrufen beim schütteln da nix geändert wurde.

      • scheisse nein, hab mich geirrt…hätte mir vorher das video ansehen solln :O

  • Empfinde ich persöhnlich nicht als Sicherheitslücke. Zudem soll das Problem in der 3.1er schon behoben sein.

    Also warum sich darüber sogern machen?

  • Klar ist das nicht unbedingt ein großes Problem, ein grober Designschnitzer ist es aber allemal.

    Apple, einmal schämen bitte.

  • lese gerade das erste mal von dieser undo schüttelfunktion… :)

  • Dies kann mit jedem einzelnen Buchstaben wiederholt werden, außer mit dem letzten.

  • bei mir klappt es überhaupt nicht … liegt wohl an 3.1 *cokt*

  • Mal ne Frage an euch. Warum will mein iPhone mit 3.0 und jailbreak alle 5 min mein iTunes Passwort?

  • Echt schlimm mit den Lücken so einfach und simpel

  • sagtmal jungs….

    ich hab mein per zufallsgenerator vergebenes passwort von der firma vergessen und hab mich grade gefreut wie n kleines kind über diese meldung… nur wie mach ich das mit dem ersten buchstaben??? da klappt der „trick“ ja ned…

  • the legendary savior

    wieso schüttelt der sin iphone so stark!?also ich geb mein iphone eh seltend an andere un bei gespeicherten pws gehts net..is quatsch eeil gespeichert is gespichert also kann sich eh jeder einloggen..weils ja gespeichert is

  • Hab’s heute mit dem pc meines Chefs probiert.

    Erstens tun mir jetzt die arme weh vom schütteln des pcs, zweitens ist nun der pc defekt und hat nur bissle geklappert. War nicht so lustig…

    Sah bescheuert aus…geht glaub nur mit Apple.
    Oder darf ich nur die Tastatur oder den Monitor schütteln?

    Ach ja mit Hirn 2.0 wär mir das nicht passiert.

    Um nochwas sinnvolles beizutragen:
    3.1er 3gs wird nur nen
    Punkt angezeigt nach undo.

    wenn man nen Bug finden mag, findet man Au einen. Seid doch froh sonst gäbe es kein jb.
    Und wer weiß vielleicht muss man bei os 4.0 das geraet nach Norden ausrichten und 1234mal schluetteln damit, die accel. API abstürzt und so Zugriff freigibt

  • das wird für 0.000000001% in Frage kommen

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 21819 Artikel in den vergangenen 3754 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2017 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven