Kritische Lücken in Apps von Facebook & Dropbox

Der Sicherheitsexperte Gareth Wright berichtet auf seinem Blog über eine kritische Schwachstelle in der offiziellen Facebook-iOS-App. Die zugehörigen Passwörter werden auf Apple-Geräten unverschlüsselt in einer Textdatei abgelegt. mehr... plist plist

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"...Ungewiss ist darüber hinaus, wie die Facebook-Entwickler die Problematik genau aus der Welt schaffen wollen..." Einfach den Hashwert des Passwortes abspeichern und nicht das Passwort an sich und die Datei an sich verschlüsseln?
 
@klein-m: Es gibt sicherlich bereits eine Lösung, aber diese öffentlich zu nennen, wäre nicht die schlauste Idee. ;) Thema Sicherheit und so! :)
 
@testacc: War ja auch mehr eine rhetorische Frage... ;-)
 
@klein-m: Hash abspeichern ist genauso unsicher. Dann kenne ich zwar nicht das Originale Passwort aber das braucht man dann nicht mehr weil man sich dann mit dem Hash auch anmelden kann.
 
@EvilMoe: Ich glaub Du hast das mit dem Hash falsch verstanden. Du kannst Dich mit einem Hash nicht anmelden, weil daraus beim Anmelden wieder ein Hash erstellt wird und der mit dem Hash in der Datenbank verglichen wird.
 
@ThorIsHere: Wozu dann abspeichern ;) beim Anmelden wird - sofern gehasht - der hash entweder direkt angenommen oder entschlüsselt
 
@Ludacris: Hash entschluesseln? Das geht nicht, und wenn doch ist das Hashverfahren unsicher. Man muesste eine Geraetebindung also Bindung an die Hardwareid des Geraets machen.

Man koennte so eine Session einfuehren, die an das Passwort und die Geraeteid gekoppelt ist und beim ersten Anmelden eine Session generiert.
 
@nemesis1337: sorry, nicht mitgedacht war die letzten tage zu viel unterwegs und bin etwas übermüdet. :P
 
@nemesis1337: ...die einzige halbwegs sichere Methode - es sei denn, man kann MAC-Adressen faken. Natürlich kann ein Gerät auch gestohlen werden, aber das lassen wir mal aussen vor. Allerdings ist die von dir vorgeschlagene Methode sicherer, als ungebundene Möglichkeiten.
 
@klein-m: Nennt sich bei OS X und iOS KeyChain (Password Management System), auf Deutsch Schlüsselbundverwaltung. Müssten die App-Entwickler auf iOS nur integrieren, wenn sie dies nicht machen, selbst schuld... Auf kosten der User natürlich
 
@Sub-des-Tages: Jepp, du hast Recht. In diesem Fall eindeutig Faulheit der Entwickler!
 
Dropbox hat sowiso eine extreme Sicherheitslücke die es disqualifizieren müßte. Wenn ich an deine Zugangsdaten komme, kann ich meinen PC in deine Dropbox hängen und Du erfähst es nie. Es gibt keine Möglichkeit die Anmeldungen zu kontrolieren oder nur zu verhindern. Das ist Haarsträubend.
 
@Maik1000: Das stimmt so nicht! Man kann sehen, welche Geräte mit der Dropbox verbunden sind (Auf der Website unter Einstellungen->Geräte). Wenn einem dabei aufällt, das ein unbekanntes Gerät dabei ist: PW ändern und das unbekannte Gerät entfernen.
 
@h3adsh0t: Das kannte ich nicht,Danke, besser wäre es aber wenn man die Neuanmeldung von Geräten per Bestätigungsmail freigeben müßte.
 
Die Facebook-App ist sowieso der letzte Schrott, ok liegt sicher auch primär am Apple-API ...
 
@GordonFlash: Ich find die FB-App in der neuen Aufmachung gut. Und sie läuft aufm iPhone besser als auf Android.
 
@iPeople: ich hab se nur auf dem eibäd und mir ist schon x mal passiert, dass ich beim "streifen" ne message gelöscht habe / nicht mal ein delete-prompt erscheint ... auch ist der Refresh der Kommentare/Bilder arg delayed ... diese slidepanels sind auch nicht das wahre, da die immer an den rechten Rand geklatscht wirken ... seit dem neusten update sind sie ja wenigstens etwas breiter und nicht mehr so'n Schmalfilm ... und und und ... :)
 
@GordonFlash: Keene Ahnung, habs nur aufm Handy, und da läuft es gut. Für Nachrrichten nehme ich lieber den FB-Messenger, der macht sich besser.
 
@iPeople: schön, den Minus-Magnetismus hast du jetzt an der Backe :)
 
@GordonFlash: Is mir wurst, wie die Kids das hier bewerten.
 
@iPeople: du hast ein iPhone UND ein Android? Warum das denn?
 
@Yogort: Das iphone habe ich geschenkt bekommen.
 
@iPeople: ach solche Schenker hätte ich auch gerne :/
obwohl ich iOS mittlerweile nicht unbedingt der Weisheit letzter Schluss finde ... aber ich könnte damit angeben und unterwegs fotos machen :D
 
@GordonFlash: Mit nem 3GS kannste nun keine mehr von Hocker reißen. Wollts erst verkaufen, habs aber behalten, weils gar nicht sooo schlecht ist. Und mein Sensation macht bessere Fotos. Allerdings lässt es sich wirklich gut bedienen und vor allem, ich kann mit dem iPhone wesentlich schneller tippen, fehlerfrei meine ich. Irgendwie ist die tastatur darauf präziser, obwohl das Display kleiner ist als beim Sensation.
 
@iPeople: weil die App-Entwickler von fb die App für Android immer wieder gerne vernachlässigt haben^^
 
@Ninos: Mag sein
 
@iPeople: mag nicht sein, ist eine Tatsache. Es ist sogar ein Wunder, dass sich die apps für beide os heute ziemlich ähneln :D Dennoch ist die für Android immer noch sehr verbuggt..
 
@Ninos: Warum sollen sie sich auch nicht ähneln?
 
@iPeople: der Satz sollte verdeutlichen, dass die Androidapp scheiße war und scheiße ist. Hätte dieses Wort sogar groß schreiben können :D
 
facebook selbst ist die kritische lücke - diese schließt man nur wenn man facebook abschafft :-)
 
@Rikibu: was dann eher im bereich des unwahrscheinlichen liegt :/
 
@Rikibu: Und schon gehts wieder los das FB-Gebashe.
Lauter Kiddies hier -.-'
 
@klaffi3: als Rikibu ist alles andere als 'n Kiddie ;-) Mein Eindruck ist eher, da steckt ein Wesen mit massiv Grips in der Birne dahinter ;-)
 
@Rikibu: ...oder sich dort besser nicht anmeldet bzw. seinen Account rechtzeitig wieder löscht.

Das Thema Datenschutz/Passwortschutz und Facebook in einem Satz zu nennen ist sowieso ein absurdes Konstrukt.
 
@Supereagle: Problematisch ist nur, das ein Dienst wie Spottify überall gelobt wird und wieder Leute zu facebook treibt.
 
Wieso sind die Daten nicht mal verschlüsselt bzw. gehasht? Ich würde ja einigermaßen verstehen wenn die man die Hashwerte klaut und man sich mit denen einloggen könnte aber nicht mal zu verschlüsseln ist grob fahrlässig.
Wieso konnten die beiden Anbieter nicht von Anfang an eine sichere App entwickeln? Ich meine da könnte man doch sicherlich irgendwas mit Sessions oder so machen. (Bin jetzt nicht so der überprofi...)
Das ist in meinen Augen ein Armutszeugnis.
 
Das ist kein roblem. Wird das Gerätegebunden geändert gibts nur ärger, wenn man ein Backupz.B. nach einem Garantie-Austausch auf ein anderes Gerät spielen will. Wer Passwörter speichert erhöht immer das Risiko, das dieses "geleakt" wird
Kommentar abgeben Netiquette beachten!

Facebooks Aktienkurs in Euro

Facebooks Aktienkurs - 6 Monate
Zeitraum: 6 Monate

Der Facebook-Film im Preis-Check

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter