iphone-ticker.de — Alles zum iPhone. Seit 2007. 34 377 Artikel
   

Versteckte Account-Übernahme bei Facebook, Dropbox & Co. – Oder: „Du kannst dein iPhone gerne an meinem Rechner laden“

32 Kommentare 32

Die Kurzversion: Wenn ihr euer Passcode-geschütztes, Jailbreak-freies iPhone mit einem fremden Rechner verbindet, kann dieser im Hintergrund Konfigurationsdateien aus eurer Dropbox oder Facebook-Applikation kopieren. Anschließend lassen sich – unter Zuhilfenahme eines zweiten iOS-Gerätes – eure Accounts übernehmen.

Die etwas längere Version: Wie bei zahlreichen Spielen gang und gäbe, speichern auch Dropbox und Facebook eure Account-Informationen (bzw. einen Token der euer Gerät als authentifiziert und berechtigt zum Account-Zugriff ausweist) in einer Plist-Datei im Ordner der Applikation. Wer weiß wonach gesucht werden muss, kann die Plist-Dateien auch ohne Jailbreak von eurem Gerät kopieren. Werkzeuge wie der „iExplorer“ bieten dafür bereits eine einfach gestaltete Benutzeroberfläche an.

Die von Gareth Wright aufgedeckte Sicherheitslücke betrifft vor allem verlorene Geräte, kann eure Accounts jedoch auch bei einem einfachen Ladevorgang kopieren:

After contacting Facebook I took the liberty of knocking together a few proof of concepts. […] A hidden application which runs on shared PC’s Any device plugged in to charge has the Plist copied.

Facebook ist seit Ende März im Bilde, hat bislang aber noch nichts gegen die Zugriffsmöglichkeit unternommen.

According to some articles Facebook say this isn’t really fixable, but they could at least add 2nd-tier authentication or at a minimum warn a user when another device has been used to access their account.

Je nach Anwendung speichern iOS-Anwendungen auch die Klartext-Passwörter in frei zugänglichen Plist-Datein. Drei Beispiele (Danke Fabian) :

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
06. Apr 2012 um 13:37 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    32 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    32 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 34377 Artikel in den vergangenen 5571 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2022 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven