Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Potenzielles Sicherheitsproblem: iOS…

Kein Übertragen von Passwörtern?

  1. Thema

Neues Thema Ansicht wechseln


  1. Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 11:51

    Wie wird das verhindert?

  2. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 12:26

    Bei Passwort-Feldern wird wohl nur die normale Tastatur verwendet und Drittanbieter-Tastataturen werden dafür deaktiviert.

  3. Re: Kein Übertragen von Passwörtern?

    Autor: Brainfreeze 19.09.14 - 12:32

    Und woher weiss das System denn, dass ich mich aktuell in einem Eingabe-Feld für ein Passwort befinde? Je nach App oder Webseite können diese doch unterschiedlichst implementiert sein.

  4. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 12:36

    Das klingt zwar nach einer unschönen, dafür aber sicheren Lösung. Danke für die Info.

  5. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 12:36

    Es sind unterschiedliche Arten von Feldern. Du hast vll. auch schon bemerkt, dass du eine andere Tastatur angezeigt bekommst, wenn du in ein Feld nur Zahlen eintragen sollst.

  6. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 12:46

    Das ist programmtechnisch problemlos möglich und wird dann vom System auch so erkannt. Wenn ein Entwickler natürlich irgendwas selbst implementiert hat und dann vergessen hat, das Feld als Passwort-Feld zu deklarieren, klappt es natürlich nicht aber das ist dann ein Fehler in der App.

  7. Re: Kein Übertragen von Passwörtern?

    Autor: Realist_X 19.09.14 - 12:50

    Sicher? Wenn jeder Entwickler sein Passwortfeld als solches 'verschleiern' kann?

  8. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 12:53

    Kannst du mal erklären, was du meinst und was für dich unsicher ist?

  9. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 13:08

    Brainfreeze schrieb:
    --------------------------------------------------------------------------------
    > Und woher weiss das System denn, dass ich mich aktuell in einem
    > Eingabe-Feld für ein Passwort befinde? Je nach App oder Webseite können
    > diese doch unterschiedlichst implementiert sein.
    Du hast recht. Man kann dem Benutzer vorgaukeln, dass er sich in einem Passwortfeld befindet und jede Eingabe zum Beispiel in einen Stern umwandeln. Hab ich selber schon gesehen. Ich gehe aber davon aus, dass dies eher selten vor kommt.

    Das Betriebssystem hat keine Chance das immer zu filtern. Wenn beim Onlinebanking zum Beispiel TANs eingegeben werden müssen, sind dies in der Regel normale Textfelder.

    Es ist also nur eine Pseudosicherheit, welche von den meisten Benutzern nicht hinterfragt wird.

  10. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 13:19

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Es sind unterschiedliche Arten von Feldern. Du hast vll. auch schon
    > bemerkt, dass du eine andere Tastatur angezeigt bekommst, wenn du in ein
    > Feld nur Zahlen eintragen sollst.
    Du hast vielleicht schon gemerkt, dass dies von der Implementierung abhängt?

    Ausserdem gibt es noch Systeme, welche nach einer TAN fragen, welche aber in der Regel in normale Textfelder eingegeben wird.

    Ein Betriebssystem kann deswegen nicht sauber unterscheiden, wie kritisch eine eingegebene Information ist.

  11. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 13:22

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Das ist programmtechnisch problemlos möglich und wird dann vom System auch
    > so erkannt. Wenn ein Entwickler natürlich irgendwas selbst implementiert
    > hat und dann vergessen hat, das Feld als Passwort-Feld zu deklarieren,
    > klappt es natürlich nicht aber das ist dann ein Fehler in der App.

    Ein System erkennt nicht, dass zum Beispiel beim Onlinebanking eine TAN eingegeben wurde. In der Regel handelt es sich hier um normale Textfelder. Dies hat nichts mit dem Entwickler zu tun, sondern es hat sich mehrheitlich so durchgesetzt .. das war auch schon vor dem ersten iPhone so.

  12. Re: Kein Übertragen von Passwörtern?

    Autor: Brainfreeze 19.09.14 - 13:34

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Das ist programmtechnisch problemlos möglich und wird dann vom System auch
    > so erkannt. Wenn ein Entwickler natürlich irgendwas selbst implementiert
    > hat und dann vergessen hat, das Feld als Passwort-Feld zu deklarieren,
    > klappt es natürlich nicht aber das ist dann ein Fehler in der App.

    Ich denke jetzt eher an Webseiten zum Registrieren, in der man häufig zweimal im Klartext sein gewünschtes Kennwort eingibt. Oder sogar an Passwortmanager, wo man beim manuellen hinterlegen von Accountdaten auch hier die Passwörter im Klartext eingibt. Ein Markieren des Feldes als "Passwort-Feld", wodurch die Eingabe verdeckt wird, ist hier ja nicht gewünscht.
    Und auch die anderweitig erwähnten TAN-Daten sind auch sicherheitskritisch.

  13. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 13:45

    Also ich kenne ehrlich gesagt keine Webseite, bei der man sein Kennwort in ein Klartext-Feld eingibt. Und für Passwort-Manager ist es kein Problem, die Eingabefelder entsprechend zu deklarieren, dass iOS weiß, was das für dein Feld ist.

  14. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 13:48

    Eine TAN ist bei diesem Fall aber auch unkritisch, da sie unmittelbar nach dem Absenden eingelöst und ungültig ist. Da würde es einem bösartigen Keyboard-Entwickler nichts nützen, wenn sie in die Cloud geschickt wird.

  15. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 13:59

    Ich kenne auch keinen Passwort-Manager, der einen dazu zwingt, Passwörter sichtbar einzugeben. Normalerweise hat man die Möglichkeit, zwischen Textfeld und Passwortfeld umzuschalten.

  16. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 14:21

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Eine TAN ist bei diesem Fall aber auch unkritisch, da sie unmittelbar nach
    > dem Absenden eingelöst und ungültig ist. Da würde es einem bösartigen
    > Keyboard-Entwickler nichts nützen, wenn sie in die Cloud geschickt wird.
    Nützt nichts? Ich würde das Risiko auch nicht in erster Linie beim Entwickler suchen.
    Was ist, wenn der Entwickler nicht mitbekommt, dass noch andere Leute ein bisschen mehr Zugriff auf die Cloud haben?
    Ausserdem gehst Du auch vom normalen Prozess bei den TANs aus. Was ist aber, wenn die TAN nicht an das fragende System übertragen wird und dadurch noch immer gültig ist? Oder wenn die Tastatur schon vorher die Informationen überträgt bevor der User auf Enter gedrückt hat.
    Bei einer kritischen Masse lohnt sich auch hier ein Angriff.

  17. Re: Kein Übertragen von Passwörtern?

    Autor: Netspy 19.09.14 - 14:38

    Eine solche bösartige App würde vermutlich kaum den Weg in den Appstore finden und wenn doch, dann nicht lange da verweilen. Das Sicherheitsrisiko ist hier nicht größer, als bspw. bei alternativen Browsern wie Chrome, wo ich auch nicht weiß, ob dort nicht meine eingegebenen Daten abgefangen werden.

    Ganz sicher ist gar nichts aber solche Tastaturen halte ich für eher unkritisch bzw. gibt es gefährlichere Sachen, vor denen auch niemand warnt.

  18. Re: Kein Übertragen von Passwörtern?

    Autor: Brainfreeze 19.09.14 - 14:41

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Ich kenne auch keinen Passwort-Manager, der einen dazu zwingt, Passwörter
    > sichtbar einzugeben. Normalerweise hat man die Möglichkeit, zwischen
    > Textfeld und Passwortfeld umzuschalten.

    Ich probiere gerade die aktuelle Version von 1Password aus. Wenn ich dort manuell neue Accountdaten einpflege, ist das Passwort nach der Eingabe sichtbar. Erst wenn ich die Seite mit den neuen Daten schliesse und wieder öffne, ist das Passwort ausgeblendet (in den Optionen ist bei mir Passwort ausblenden übrigens aktiv).
    Ich weiss natürlich nicht, wie dies nun implementiert ist, aber im Rahmen der Accounterfassung verhält sich das Passwordfeld wie ein ganz normales Textfeld. (Das gleiche gilt übbrigens auch für das PIN-Feld bei den Bankkonten dort)

  19. Re: Kein Übertragen von Passwörtern?

    Autor: Anonymer Nutzer 19.09.14 - 15:21

    Netspy schrieb:
    --------------------------------------------------------------------------------
    > Eine solche bösartige App würde vermutlich kaum den Weg in den Appstore
    > finden und wenn doch, dann nicht lange da verweilen. Das Sicherheitsrisiko
    > ist hier nicht größer, als bspw. bei alternativen Browsern wie Chrome, wo
    > ich auch nicht weiß, ob dort nicht meine eingegebenen Daten abgefangen
    > werden.
    Einmal die Frage: wie soll Apple, Google und Co herausfinden, ob eine App böse ist oder nicht? Sie haben verschiedene Testverfahren und können evtl. eine Abschätzung oder Risikobeurteilung machen. Mehr aber auch nicht. Es gibt auch genügend Beispiele, wo trotzdem Schadsoftware im Store gelandet ist. Bei Apple und bei Google.
    Ausserdem ist die App an sich ja gut und hat mit der Sicherheit der benutzten Cloud ja erst mal nichts zu tun.
    Ausserdem würde ich sagen, dass das Risiko ist bei Chrome geringer ist denn was würde wohl passieren wenn herauskommt, dass der Milliardenkonzern Google sich die Tastatureingaben schicken lässt? Google hat ja auch kein Interesse daran sich mit irgendwelchen Nutzerkonten irgendwo einzuloggen.
    Eine Tastaturapp, welche von vornherein schon sagt, dass Eingaben in der Cloud landen können, verhält sich auch nicht falsch, wenn Informationen ins Netz geschickt werden. Das Risiko, dass unbefugte Zugriff auf diese Daten erhalten könnten ist aber recht gross. An anderer Stelle hatte ich schon gesagt, dass die Installation sämtlicher Apps auf geschäftlichen Telefonen eigentlich verboten werden sollte. Als Argument bekam ich dann zu hören, dass immer mehr private Handys im geschäftlichen Umfeld eingesetzt werden. Jetzt stelle man sich vor, dass durch ein privates Handy eine Sicherheitslücke in einer solchen Cloud entsteht und Tastatureingaben von Millionen Usern offen liegen. Oft ist es ja so, dass viele Apps von kleinen Buden entwickelt werden, denen am Anfang erst mal das Kapital hinten und vorne fehlt. Ich gehe davon aus, dass hier auch besonders gerne private Handys eingesetzt werden.

    > Ganz sicher ist gar nichts aber solche Tastaturen halte ich für eher
    > unkritisch bzw. gibt es gefährlichere Sachen, vor denen auch niemand warnt.
    Sicher ist gar nichts .. das ist sicher ;)

    Die Daten lassen sich auch viel einfacher absaugen. Man kann nun zum Beispiel die Aufklärung der Medien nutzen und bei seiner eigenen Tastaturapp hervorheben, dass diese keine Rechte fürs Internet benötigt. Statt dessen speichert man alles auf Phone und lässt die Übertragung der Tastatureingaben eine andere App erledigen. Wie man sieht, muss man sich nicht nur Gedanken darüber machen, ob eine App ins Internet darf, sondern ob diese ihre Daten auf dem Handy speichern darf, welche von anderen Apps evtl. gelesen werden können. Sobald die Tastaturapp Eingaben speichern darf und ich nicht 100% sicher bin, dass nur gutwillige Apps auf meinem Handy sind, wäre mir generell ganz unwohl.

  20. Re: Kein Übertragen von Passwörtern?

    Autor: __destruct() 19.09.14 - 19:45

    Das klingt für mich nach einem ziemlich guten Ausschlusskriterium. Auch, wenn sie funktionierten würde: Wegen so etwas wie dem Anzeigen und dem Verschleiern des Passworts in ein Einstellungs-Menü gehen zu müssen, ist sicherlich nicht die beste Lösung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universitätsklinikum Augsburg, Augsburg
  2. PKS Software GmbH, München
  3. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. Dataport, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Deapool 2, Vikings, X-Men Dark Phoenix, Terminator u.v.m.)
  2. 107,90€
  3. (u. a. Bohrhammer für 114,99€, Schraubendreher-Set für 27,99€, Ortungsgerät für 193,99€)
  4. (u. a. Multi Schleifmaschine für 62,99€, Schlagbohrmaschine für 59,99€, Akku Staubsauger für...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Recruiting: Wenn das eigene Wachstum zur Herausforderung wird
Recruiting
Wenn das eigene Wachstum zur Herausforderung wird

Gerade im IT-Bereich können Unternehmen sehr schnell wachsen. Dabei können der Fachkräftemangel und das schnelle Onboarding von neuen Mitarbeitern zum Problem werden. Wir haben uns bei kleinen Startups und Großkonzernen umgehört, wie sie in so einer Situation mit den Herausforderungen umgehen.
Von Robert Meyer

  1. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  2. LoL Was ein E-Sport-Trainer können muss
  3. IT-Arbeit Was fürs Auge

Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
Apple TV+
Apples Videostreamingdienst ist nicht konkurrenzfähig

Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
Eine Analyse von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
  3. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

IT-Studium: Kein Abitur? Kein Problem!
IT-Studium
Kein Abitur? Kein Problem!

Martin Fricke studiert Informatik, obwohl er kein Abitur hat. Das darf er, weil Universitäten Berufserfahrung für die Zulassung anerkennen. Davon profitieren Menschen wie Unternehmen gleichermaßen.
Von Tarek Barkouni

  1. IT Welches Informatikstudium passt zu mir?
  2. Bitkom Nur jeder siebte Bewerber für IT-Jobs ist weiblich

  1. BSI: iOS-App der Telekom für vertrauliche Gespräche freigegeben
    BSI
    iOS-App der Telekom für vertrauliche Gespräche freigegeben

    Neben Kryptohandys dürfen Behördenmitarbeiter nun auch auf iPhones Vertrauliches miteinander besprechen - vorausgesetzt, sie verwenden eine App der Telekom.

  2. Datenleck: Persönliche Daten von Ecuadors Bürgern ungeschützt im Netz
    Datenleck
    Persönliche Daten von Ecuadors Bürgern ungeschützt im Netz

    Detaillierte persönliche Informationen von Ecuadors Bürgern waren offen zugänglich im Internet. Insgesamt umfasste die Datenbank 20 Millionen Einträge, darunter auch der 2017 eingebürgerte Julian Assange.

  3. Wegen Cloudflare: OpenBSD deaktiviert DoH im Firefox-Browser
    Wegen Cloudflare
    OpenBSD deaktiviert DoH im Firefox-Browser

    Wegen der Kooperation von Mozilla und Cloudflare für DNS über HTTPS (DoH) deaktiviert das Team von OpenBSD die Nutzung des Protokolls für alle Firefox-Nutzer des freien Betriebssystems. Interessierte können die Technik aber weiterhin einsetzen.


  1. 16:08

  2. 15:27

  3. 13:40

  4. 13:24

  5. 13:17

  6. 12:34

  7. 12:02

  8. 11:15