Versteckte Account-Übernahme bei Facebook, Dropbox & Co. – Oder: „Du kannst dein iPhone gerne an meinem Rechner laden“
Die Kurzversion: Wenn ihr euer Passcode-geschütztes, Jailbreak-freies iPhone mit einem fremden Rechner verbindet, kann dieser im Hintergrund Konfigurationsdateien aus eurer Dropbox oder Facebook-Applikation kopieren. Anschließend lassen sich – unter Zuhilfenahme eines zweiten iOS-Gerätes – eure Accounts übernehmen.
Die etwas längere Version: Wie bei zahlreichen Spielen gang und gäbe, speichern auch Dropbox und Facebook eure Account-Informationen (bzw. einen Token der euer Gerät als authentifiziert und berechtigt zum Account-Zugriff ausweist) in einer Plist-Datei im Ordner der Applikation. Wer weiß wonach gesucht werden muss, kann die Plist-Dateien auch ohne Jailbreak von eurem Gerät kopieren. Werkzeuge wie der „iExplorer“ bieten dafür bereits eine einfach gestaltete Benutzeroberfläche an.
Die von Gareth Wright aufgedeckte Sicherheitslücke betrifft vor allem verlorene Geräte, kann eure Accounts jedoch auch bei einem einfachen Ladevorgang kopieren:
After contacting Facebook I took the liberty of knocking together a few proof of concepts. […] A hidden application which runs on shared PC’s Any device plugged in to charge has the Plist copied.
Facebook ist seit Ende März im Bilde, hat bislang aber noch nichts gegen die Zugriffsmöglichkeit unternommen.
According to some articles Facebook say this isn’t really fixable, but they could at least add 2nd-tier authentication or at a minimum warn a user when another device has been used to access their account.
Je nach Anwendung speichern iOS-Anwendungen auch die Klartext-Passwörter in frei zugänglichen Plist-Datein. Drei Beispiele (Danke Fabian) :
„Facebook ist seit Ende März im Bilde, hat bislang aber noch nichts gegen die Zugriffsmöglichkeit unternommen.“
Warum auch? Ist denen mal gerade egal…
Ende März heißt ungefähr eine Woche. Also immer ruhig mit den jungen Hühnern…
Ich erinnere mich das sowas schon mal war? Aber bei anderen Apps, war da nicht damals Outbank und so in reger Kritik?
Was sollen die auch machen? Die setzten ein paar Leute dran, aber vermutlich können die nichts machen, außer Apple ein paar tips geben, wie mit IOS 6 Facebook und ähnliche Apps sicherer gemacht werden können.
Die haben keine Zeit, da sie ihren Börsengang vorbereiten müssen ;-)
Ach, was ist es schön, wenn man mit FB nichts am Hut hat.
„According to some articles Facebook say this isn’t really fixable…“
Warum sollte man das nicht ändern können? Mann kann die Daten doch statt in einer plist auch im Schlüsselbund speichern. Dieser wurde soweit ich weiß noch nicht geknackt.
Alternativ könnten die App die Daten selber irgendwie verschlüsseln bevor diese in der plist gespeichert werden. Dann könnte man zwar immer noch das App außeinandernehmen und darin den Schlüssel finden aber die Hürde säße doch ein ganzes Stück höher als beim Klartext speichern.
Soweit ich weiss, geht’s hier ja um iOS und da gibts keinen Schlüsselbund
(wär aber genial … iCloud .. Schlüsselbund … iOS .. ? *hechel*)
Natürlich hält iOS einen Keychain, der wird hier aber schlicht nicht genutzt.
Das er nicht mt der Wolke gesynct wird hat schon seine Gründe, das ha Apple nicht umsonst abgeschafft..
iMick
Was hat Facebook damit zu tun wie ein Gerät (Handy Laptop etc. ) seine PWs speichert?!
Denk mal nach dextro – bevor du Unsinn schreibst.
Oh oh… selber Unsinn. Natürlich hat FB einen Einfuss darauf wie ihre App die Zugangsdaten speichert.
Es spielt ÜBERHAUPT KEINE Rolle wie Passwörter etc von Apps gespeichert werden! Das Problem ist das man die gespeicherten Daten 1:1 auf ein anderes Gerät kopieren und dort nutzen kann. Da bringt auch die Verschlüsselung nichts.
Die Daten müssen an das Gerät auf dem sie „erstellt“ wurden gebunden werden. Und das ist Sache von iOS und Apple – nicht von Facebook und Co.
lol. Grade vorgestern hab ich mir IM+ pro auf’s pad gelden .. xD
Naja, sollen’se doch, hab nix zu verbergen ^^
Auch lol! Dann poste doch einfach mal Deine Account-Daten hier..
Immer dieses undifferenzierte „ich habe nichts zu verbergen“-Geschwätz..
iMick
Werden bei einer Banking App wie iOutbank und Finanzblick die Passwörter auch so gespeichert?
Nein, mit AES 256-Bit verschlüsselt.
Nichts für ungut, aber in der Überschrift müsste es heißen: „…an meinem Rechner…“. ;-)
Wollt ich auch grad schreiben :)
Ui ui, ist repariert. Danke.
Meine allererste iOS-App hatte auch mit solchen Zugriffstokens gearbeitet, und selbst mir war gleich klar, daß ich dieses Token nicht für alle sichtbar in einer Datei ablegen darf, sondern sie geschützt ablegen muss (in meinem Fall: In der iOS-Keychain, die wiederum an das individuelle Gerät gebunden ist).
Schon peinlich, wenn so große Firmen dann solchen Schussel die Software schreiben lassen, die das nicht kapieren.
Aber eigentlich ist das auch nicht wirklich verwunderlich, denn solche Firmen stellen prinzipiell keine Individuen ein, sondern lieber Frischlinge von der Uni (d.h. unerfahren), die leichter austauschbar sind.
Ach ja – und bei der iOS-App, an der ich arbeitete, wurde dann auch ein externer Sicherheitsberater hinzugezogen, der genau solche Sachen prüfte. Ist doch eigentlich naheliegend, und bei einer großen Firma wie Facebook eigentlich noch eher zu erwarten als bei einem One-Man-Team.
Ich hab die App allerdings für eine große dtsch. Firma entwickelt, die dafür auch selbstverständlich die Mittel hatte, um Sicherheitsexperten zu bezahlen – insofern kommt es offenbar am Ende auch nur wieder auf den Willen der Firma an – meine Firma war offensichtlich bemüht, die Daten auf dem iOS-Device sicher zu behalten, während Facebook … naja, das kennen wir ja schon lange. Bei Dropbox verwundert es mich allerdings.
Leg mir doch mal die grundlegenden requirements of applied softwareengeneering dar ;)?
Danach überdenke deine Aussage bitte noch einmal :)
Nur um auf studierte Leute von der Uni haben keine Ahnung zurückzukommen … :)
Von welcher App. sprichst du denn explizit ;)?
„… or at a minimum warn a user when another device has been used to access their account.“
Also ich bekomme jedes mal eine E-Mail, wenn ich Facebook auf einem neuen Rechner benutze und muss dem beim ersten Login dafür einen Namen geben. Oder entfällt das bei Übernahme eines bestehenden Tokens? Dann ist aber der oben zitierte Passus Quatsch.
Also in meiner implus_accounts.plist sind keine Passwörter als Klartext gespeichert..
Auch bei Facebook, denke ich, wird es so sein. Und im schlimmsten Falle kann dieser jemand dein Profil ändern, oder derjenige postet irgendwas dummes… Für die Account Löschung oder Übernahme (etwa durch ändern des Passwortes) braucht man immer noch das aktuelle Passwort (und auch noch Zugriff auf das verbundene Email Konto?)
…was beides in der Plist zu finden ist. Da liegt ja das Problem.
Ich find die betroffene plist im Facebook Ordner nicht.
Was IM+ angeht habe ich oben schon geschrieben, dass keine Passwörter als Klartext gespeichert sind.
Es reicht doch, die plist aufs andere Gerät zu kopieren. Das Passwort selber muss man gar nicht wissen.
aber das reicht doch wiederum nicht aus, um den account zu übernehmen? du weißt dann doch trotzdem nicht das aktuelle passwort. dieses wird eben abgefragt wenn du das passwort ändern willst.
wo ist also jetzt das große drama?
das irgendwelche halbpubertären kinder dann über den fremden account „penis“ als statusnachricht schreiben?
*dass
Alleine schon der Lesezugriff reicht ja, um den einen oder anderen zu kompromittieren. Aber zumindest nach Geräteverlust empfiehlt sich ein Rundumschlag in Sachen neue Passwörter.
Mh. Also in meiner im+plist steht das pw. nicht im Klartext. Da steht zwar die icq uid aber das pw. scheint verschlüsselt oder mindestens in irgend einem hexacode dargestellt zu sein.
Das sind die Apps, die ich noch gefunden habe, die die Passwörter unverschlüsselt ablegen:
Payshield (Paypal App)
FRITZ!App
FRITZ!Labor
fritzCalls
Nicht behebbar?
1. Jedes Gerät hat eine eigene Seriennummer.
2. Jedes Gerät hat eine/zwei einzigartige MAC-Adressen.
Wie siehts da mit Verknüpfungsmöglichkeiten aus?