Passwörter über die Undo-Funktion einsehen
Neowin berichtet über eine kleine, aber potentiell „gefährliche“ Sicherheitslücke im iPhone OS 3.0 die mittlerweile (also im vor kurzem veröffentlichten OS 3.1) behoben wurde. So erlaubt die – durch das Schütteln des Gerätes aktivierbare – Undo-Funktion des iPhones das schrittweise Auslesen zuvor eingegebener Passwörter. Buchstabe für Buchstabe lässt sich so, wie in diesem Youtube-Video demonstriert, auslesen.
„The trick works when a password field is present with a saved password in it, a user can delete one character at a time, starting from right to left and shake the phone, press „undo typing“ to reveal the hidden character.“
Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
So langsam bekommt man doch ein mulmiges Gefühl, was iPhone und Sicherheit angeht. Wenn ich von solchen Sicherheitslücken lese, mache ich mir ernsthafte Gedanken darüber, ob es aus der Sicherheitsperspektive vertretbar ist, weiter iOutBank etc. zu benutzen.
Aber das muss wohl jeder für sich selbst entscheiden.
Kein System ist sicher, und dass das Problem mit den letzten Updates schon behoben wurde, ist mehr, als man von Monate lang offenen Scheunentoren unter Windows kennt.
Wenn ich dann vor der Entscheidung stehe, auf welchem Betriebssystem ich ein solches Bankkonto-Verwaltungsprogramm verwende, wüsste ich immerhin den Taskwildwuchs eines WindowsMobiles/CE zu meiden, wo man grundsätzlich nie weiss, welche App sich die eingegebenen Informationen greift und weiter leitet…
Solange das nicht bei gespeicherten Passwörtern geht…
geht aber auch bei denen soweit ich das verstanden und auf weiteren blogs gelesen habe
wo soll da jetzt ein große Lücke gewesen sein ? Mein IPhone liegt eigentlich nicht so einfach rum – wo hab ich es nur wieder hingelegt *hae*
Was ist mit Diebstahl oder doch mal nem Verlust? Mir ist es z.b. du nervig immer diese Passwortabfrage am Anfang zu haben.
Ist das wirklich eine Sicherheitslücke oder muss da nur wer ein imaginäres Sommerloch füllen?
Damit sowas ausgenutzt werden kann, müssen schon ziemlich viele Umstände zusammenkommen:
– der „Hacker“ muss erstens wen finden, der in sein iphone ein Passwort eingegeben hat
– dann muss er genau den Zeitpunkt erwischen, nachdem das Passwort komplett ist, aber bevor der „OK“, „Login“ oder „Wasauchimmer“ Button gedrückt wird
– dann muss er sich des iphones bemächtigen – in genau diesem Moment
– und dann kommt die schwierigste Aufgabe – er hat nur ziemlich genau eine Minute Zeit, mit der Undo-und-Schüttel-Aktion anzufangen, sonst schaltet das Teil nämlich ab und der Einbruch ist vorbei, bevor er richtig angefangen hat
– und das ganze, versteht sich, ohne jegliche Gegenwehr des regulären Besitzers.
Fazit: Nette Meldung, aber ohne Substanz im richtigen Leben.
Du hast es halt nicht kapiert.
Bekomme ich Dein iPhone in die Hand und Du nutzt z.B. UsedBudget öffne ich das Program, gehe in’s Setup und mache da den Trick mit Deinem t-mobile Passwort, schon hab ich das.
Und zwar egal, wann Du das eingegeben hast usw.
Geht (ging) vermutlich mit so ziemlich jedem Passwort (VPN, Apps, gespeicherte Formulardaten?! usw.)
Um zu deinem Bsp mit usedbudget zurückzukommen, hab’s grad mal probiert und solange man keine Änderung getätigt hat also das Passwort ist noch verschlüsselt zu sehen dann gibt es nix zu wiederrufen beim schütteln da nix geändert wurde.
scheisse nein, hab mich geirrt…hätte mir vorher das video ansehen solln :O
Empfinde ich persöhnlich nicht als Sicherheitslücke. Zudem soll das Problem in der 3.1er schon behoben sein.
Also warum sich darüber sogern machen?
Das ist der Sinn des verspäteten veröffentlichen von solchen Sicherheitslücken, damit nicht Hinz und Kunz das wissen.
Klar ist das nicht unbedingt ein großes Problem, ein grober Designschnitzer ist es aber allemal.
Apple, einmal schämen bitte.
lese gerade das erste mal von dieser undo schüttelfunktion… :)
Dies kann mit jedem einzelnen Buchstaben wiederholt werden, außer mit dem letzten.
bei mir klappt es überhaupt nicht … liegt wohl an 3.1 *cokt*
Mal ne Frage an euch. Warum will mein iPhone mit 3.0 und jailbreak alle 5 min mein iTunes Passwort?
Weil du alle 5 min. etwas kaufst?
Ne kauf ja nichts … Geht den ganzen Tag so
weil es wahrscheinlich ein app laden will und du jedes mal abbrechen klickst oder keine netzverbindung hast!?
Nee er lädt nichts ist irgendwie seltsam alle AppStore sind auch auf den neusten stand
Hatte das Problem auch. Mit 3.1 aber weg!
Echt schlimm mit den Lücken so einfach und simpel
sagtmal jungs….
ich hab mein per zufallsgenerator vergebenes passwort von der firma vergessen und hab mich grade gefreut wie n kleines kind über diese meldung… nur wie mach ich das mit dem ersten buchstaben??? da klappt der „trick“ ja ned…
Probier alle Kombinationen aus, so viele sind das ja nicht. :D
wieso schüttelt der sin iphone so stark!?also ich geb mein iphone eh seltend an andere un bei gespeicherten pws gehts net..is quatsch eeil gespeichert is gespichert also kann sich eh jeder einloggen..weils ja gespeichert is
So kann derjenige aber dein Passwort vom E-Mail Account klauen und von zu Hause aus deine Mails ausspionieren oder sich dadurch auf diversen Seiten einloggen. :)
Hab’s heute mit dem pc meines Chefs probiert.
Erstens tun mir jetzt die arme weh vom schütteln des pcs, zweitens ist nun der pc defekt und hat nur bissle geklappert. War nicht so lustig…
Sah bescheuert aus…geht glaub nur mit Apple.
Oder darf ich nur die Tastatur oder den Monitor schütteln?
Ach ja mit Hirn 2.0 wär mir das nicht passiert.
Um nochwas sinnvolles beizutragen:
3.1er 3gs wird nur nen
Punkt angezeigt nach undo.
wenn man nen Bug finden mag, findet man Au einen. Seid doch froh sonst gäbe es kein jb.
Und wer weiß vielleicht muss man bei os 4.0 das geraet nach Norden ausrichten und 1234mal schluetteln damit, die accel. API abstürzt und so Zugriff freigibt
Hahahah du opfa
^^
das wird für 0.000000001% in Frage kommen