{"id":32242,"date":"2012-04-06T13:37:51","date_gmt":"2012-04-06T11:37:51","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=32242"},"modified":"2012-04-06T13:53:30","modified_gmt":"2012-04-06T11:53:30","slug":"versteckte-account-ubernahme-bei-facebook-dropbox-co-oder-du-kannst-dein-iphone-gerne-an-meinen-rechner-laden","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/versteckte-account-ubernahme-bei-facebook-dropbox-co-oder-du-kannst-dein-iphone-gerne-an-meinen-rechner-laden-32242\/","title":{"rendered":"Versteckte Account-\u00dcbernahme bei Facebook, Dropbox & Co. – Oder: „Du kannst dein iPhone gerne an meinem Rechner laden“"},"content":{"rendered":"

Die Kurzversion: Wenn ihr euer Passcode-gesch\u00fctztes, Jailbreak-freies iPhone mit einem fremden Rechner verbindet, kann dieser im Hintergrund Konfigurationsdateien aus eurer Dropbox oder Facebook-Applikation kopieren. Anschlie\u00dfend lassen sich – unter Zuhilfenahme eines zweiten iOS-Ger\u00e4tes – eure Accounts \u00fcbernehmen. <\/p>\n

\"\"<\/p>\n

Die etwas l\u00e4ngere Version: Wie bei zahlreichen Spielen gang und g\u00e4be, speichern auch Dropbox und Facebook eure Account-Informationen (bzw. einen Token<\/a> der euer Ger\u00e4t als authentifiziert und berechtigt zum Account-Zugriff ausweist) in einer Plist-Datei im Ordner der Applikation. Wer wei\u00df wonach gesucht werden muss, kann die Plist-Dateien auch ohne Jailbreak von eurem Ger\u00e4t kopieren. Werkzeuge wie der „iExplorer<\/a>“ bieten daf\u00fcr bereits eine einfach gestaltete Benutzeroberfl\u00e4che an. <\/p>\n

Die von Gareth Wright aufgedeckte Sicherheitsl\u00fccke<\/a> betrifft vor allem verlorene Ger\u00e4te, kann eure Accounts jedoch auch bei einem einfachen Ladevorgang kopieren: <\/p>\n

After contacting Facebook I took the liberty of knocking together a few proof of concepts. […] A hidden application which runs on shared PC\u2019s Any device plugged in to charge has the Plist copied. <\/p><\/blockquote>\n

Facebook ist seit Ende M\u00e4rz im Bilde, hat bislang aber noch nichts gegen die Zugriffsm\u00f6glichkeit unternommen. <\/p>\n

According to some articles Facebook say this isn\u2019t really fixable, but they could at least add 2nd-tier authentication or at a minimum warn a user when another device has been used to access their account.<\/p><\/blockquote>\n

Je nach Anwendung speichern iOS-Anwendungen auch die Klartext-Passw\u00f6rter in frei zug\u00e4nglichen Plist-Datein. Drei Beispiele (Danke Fabian) :
\n\"\"<\/p>\n","protected":false},"excerpt":{"rendered":"\"\"<\/a>

Die Kurzversion: Wenn ihr euer Passcode-gesch\u00fctztes, Jailbreak-freies iPhone mit einem fremden Rechner verbindet, kann dieser im Hintergrund Konfigurationsdateien aus eurer Dropbox oder Facebook-Applikation kopieren. Anschlie\u00dfend lassen sich – unter Zuhilfenahme eines zweiten iOS-Ger\u00e4tes – eure Accounts \u00fcbernehmen. Die etwas l\u00e4ngere Version: Wie bei zahlreichen Spielen gang und g\u00e4be, speichern auch Dropbox und Facebook eure Account-Informationen […]<\/p>\n","protected":false},"author":1,"featured_media":32244,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[639],"tags":[455,5661,238,90],"class_list":["post-32242","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ios","tag-facebook","tag-ios","tag-security","tag-sicherheit"],"aioseo_notices":[],"aioseo_head":"\n\t\t\n\t\n\t\n\t\n\t\n\t\n\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t\n\t\t