{"id":55830,"date":"2013-10-17T13:51:44","date_gmt":"2013-10-17T11:51:44","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=55830"},"modified":"2013-10-17T15:41:55","modified_gmt":"2013-10-17T13:41:55","slug":"blindes-vertrauen-kalender-app-sunrise-fragt-nach-icloud-zugangsdaten","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/blindes-vertrauen-kalender-app-sunrise-fragt-nach-icloud-zugangsdaten-55830\/","title":{"rendered":"Blindes Vertrauen: Kalender-App „Sunrise“ fragt nach iCloud-Zugangsdaten"},"content":{"rendered":"

Mit euren iCloud-Zugangsdaten l\u00e4sst sich mittlerweile allerhand anstellen. Habt ihr eine Kreditkarte in eurem Apple-Konto hinterlegt, k\u00f6nnen Eink\u00e4ufe im iTunes Store get\u00e4tigt werden. Das Fernl\u00f6schen registrierter Ger\u00e4te ist ebenso m\u00f6glich wie der Vollzugriff auf euer E-Mail Archiv.<\/p>\n

Kurzum: Die Zugangsdaten zu eurem iCloud-Account, sollten eigentlich niemals aus der Hand gegeben werden. Nicht im Freundeskreis, nicht an den Apple-Support, nicht an euren Mobilfunkbetreiber. iCloud-Nutzername und Passwort sind in eurem Kopf, zus\u00e4tzlich vielleicht noch in einem vollverschl\u00fcsselten Passwort-Manager gut aufgehoben.<\/p>\n

Und ja, es gibt einen Anlass, der uns heute motiviert hat, noch mal in der Grundlagenschule vorbeizuschauen: Die popul\u00e4re Kalender-Applikation Sunrise<\/a>.<\/p>\n

Erst vor kurzem in Version 2.0 erschienen, elegant gestaltet und mit durchaus guten Benutzer-Bewertungen versehen, wurden wir heute auf eine merkw\u00fcrdige Abfrage w\u00e4hrend der Sunrise-Konfiguration hingewiesen: Um den iCloud-Kalender Apples zu integrieren bittet euch der Termin-Verwalter um die Eingabe der pers\u00f6nlichen iCloud-Zugangsdaten. <\/p>\n

\"abfrage\"<\/a><\/p>\n

Wie es das unschuldige Formular, in das eure Apple-ID und euer Passwort eingegeben werden sollen, an Apples App Store Kontrollteam vorbei geschafft hat, k\u00f6nnen wir uns nicht erkl\u00e4ren. Die (immerhin vorhandene) Infobox „Unsere Sicherheits-Verpflichtung“ versucht die Eingabe zu erkl\u00e4ren, bleibt aber schwammig: <\/p>\n

„Andere Kalender-Apps sind auf Apples Kalender-Datenbank angewiesen um eure Termine auszulesen. Diese Methode bietet jedoch wenig Platz f\u00fcr Innovationen“<\/p><\/blockquote>\n

Ist aber, wenn wir dies kurz einwerfen d\u00fcrfen, die einzig offiziell von Apple abgesegnete Methode, die Dritt-Apps beim Kalender-Zugriff nutzen sollten. Nicht zuletzt, da nur die Anwendungen die auf Apples offizielle Schnittstelle setzen auch in den Datenschutzeinstellungen des iPhones auftauchen. Weiter im Text: <\/p>\n

„Stattdessen verbinden wir uns direkt mit Apples Server und nutzen dazu den gleichen Weg, wie auch der iOS Standard-Kalender. […] Um dies zu erm\u00f6glichen, m\u00fcssen wir deine iCloud Zugangsdaten speichern. Wir k\u00f6nnen dir versichern, dass wir dies auf die sicherste Art und Weise tun.“<\/p><\/blockquote>\n

Bitte?!<\/h2>\n

Grob \u00fcbersetzt fordert euch der Sunrise-Kalender also dazu auf, den eigenen Login aus der Hand zu geben, um damit auf nicht dokumentierte Schnittstellen zuzugreifen und fasst seine komplette Sicherheitsarchitektur mit einem beschwichtigenden „Mach dir keine Sorgen, wir haben das im Griff“ zusammen.<\/p>\n