Blindes Vertrauen: Kalender-App „Sunrise“ fragt nach iCloud-Zugangsdaten
Mit euren iCloud-Zugangsdaten lässt sich mittlerweile allerhand anstellen. Habt ihr eine Kreditkarte in eurem Apple-Konto hinterlegt, können Einkäufe im iTunes Store getätigt werden. Das Fernlöschen registrierter Geräte ist ebenso möglich wie der Vollzugriff auf euer E-Mail Archiv.
Kurzum: Die Zugangsdaten zu eurem iCloud-Account, sollten eigentlich niemals aus der Hand gegeben werden. Nicht im Freundeskreis, nicht an den Apple-Support, nicht an euren Mobilfunkbetreiber. iCloud-Nutzername und Passwort sind in eurem Kopf, zusätzlich vielleicht noch in einem vollverschlüsselten Passwort-Manager gut aufgehoben.
Und ja, es gibt einen Anlass, der uns heute motiviert hat, noch mal in der Grundlagenschule vorbeizuschauen: Die populäre Kalender-Applikation Sunrise.
Erst vor kurzem in Version 2.0 erschienen, elegant gestaltet und mit durchaus guten Benutzer-Bewertungen versehen, wurden wir heute auf eine merkwürdige Abfrage während der Sunrise-Konfiguration hingewiesen: Um den iCloud-Kalender Apples zu integrieren bittet euch der Termin-Verwalter um die Eingabe der persönlichen iCloud-Zugangsdaten.
Wie es das unschuldige Formular, in das eure Apple-ID und euer Passwort eingegeben werden sollen, an Apples App Store Kontrollteam vorbei geschafft hat, können wir uns nicht erklären. Die (immerhin vorhandene) Infobox „Unsere Sicherheits-Verpflichtung“ versucht die Eingabe zu erklären, bleibt aber schwammig:
„Andere Kalender-Apps sind auf Apples Kalender-Datenbank angewiesen um eure Termine auszulesen. Diese Methode bietet jedoch wenig Platz für Innovationen“
Ist aber, wenn wir dies kurz einwerfen dürfen, die einzig offiziell von Apple abgesegnete Methode, die Dritt-Apps beim Kalender-Zugriff nutzen sollten. Nicht zuletzt, da nur die Anwendungen die auf Apples offizielle Schnittstelle setzen auch in den Datenschutzeinstellungen des iPhones auftauchen. Weiter im Text:
„Stattdessen verbinden wir uns direkt mit Apples Server und nutzen dazu den gleichen Weg, wie auch der iOS Standard-Kalender. […] Um dies zu ermöglichen, müssen wir deine iCloud Zugangsdaten speichern. Wir können dir versichern, dass wir dies auf die sicherste Art und Weise tun.“
Bitte?!
Grob übersetzt fordert euch der Sunrise-Kalender also dazu auf, den eigenen Login aus der Hand zu geben, um damit auf nicht dokumentierte Schnittstellen zuzugreifen und fasst seine komplette Sicherheitsarchitektur mit einem beschwichtigenden „Mach dir keine Sorgen, wir haben das im Griff“ zusammen.
(Direkt-Link)ifun.de hat die Sunrise-Macher um eine Stellungnahme gebeten.
Wir wollten wissen wie eure Login-Daten gesichert, genutzt und übertragen werden. Außerdem von Interesse: Welches Verfahren nutzt Sunrise um mit Apples Servern zu sprechen? Warum setzen die Macher nicht auf etablierte Login-Abfragen wie z.B. OAuth?
Die Antwort der Sunrise-Macher trudelte schnell, leider aber frei von substanziellen Informationen bei uns ein. So äußerte sich der Sunrise Mitgründer und CEO ifun.de gegenüber:
Wir speichern die iCloud Kontodaten nicht, wir tauschen diese nur gegen einen „Secure Token“ von Apple aus. […] Anschließend nurtzen wir die iCloud API um an die Informationen zu kommen. Auch ich würde mir wünschen, dass Apple hierfür eine ordentliche Dokumentation oder auch die OAuth-Unterstützung anbieten würde, aber dies ist noch nicht der Fall :-)
Sympathisch, aber die zwei hastig geschriebenen Absätze lassen sich auch anders lesen: Sobald ihr euren iCloud-Login in das Formular der Sunrise-App getippt habt, können die Macher der Kalender-App auf euer Konto zugreifen. Vielleicht werden die Daten gespeichert, vielleicht nicht. Eine offizielle Dokumentation bieten die Macher jedenfalls nicht an und gehen ifun.de gegenüber auch nicht auf die Fragen zum Transfer der Informationen ein.
Auch die Kommunikation mit Apples Servern, vorbei an den offiziellen Schnittstellen, steht auf äußerst wackeligen Füßen.
Wir können euch derzeit nur vom Sunrise-Einsatz abraten. Falls es schon zu spät ist, ändert euer iCloud-Passwort.