1758871

"Mailbox" offen wie ein Scheunentor

26.04.2013 | 11:08 Uhr |

Die kontrovers diskutierte Gmail-App Mailbox legt die Inhalte von Emails, Kontakte und sogar die Mail-Anhänge offen und unverschlüsselt auf dem iPhone ab.

Der User "Subhransu" hat eine schwerwiegende Sicherheitslücke in der beliebten Gmail-App Mailbox entdeckt, durch die mit einfachsten Mitteln die Inhalte und Anhänge von Mails, sowie Kontaktinformationen der Adressaten ausgelesen werden können – jedoch nur, wenn Dritte das iPhone in ihre Hände bekommen.

Das Problem: Scheinbar haben die Entwickler von Mailbox vergessen, die entsprechenden Daten durch die für gewöhnlich verwendeten API's zu schützen, die der iOS-SDK ab Werk enthält – ein Vorgehen, dass man durchaus als schlampig bezeichnen kann. Um jedoch tatsächlich an die Daten gelangen zu können, muss man das iPhone eines Dritten in Händen halten. Im Vergleich zur iOS-eigenen Mail-App, die genau auf die genannten APIs setzt und Kontakte, Nachrichten sowie Anhänge doch recht zuverlässig schützt, lässt sich Mailbox aber schon mit zwei kostenlosen Tools auslesen.

So schnell kommt man an die Attatchments von Mailbox.
Vergrößern So schnell kommt man an die Attatchments von Mailbox.

Mit dem Programm iExplorer lässt sich fix ein Blick in die Mail-Anhänge aller über Mailbox empfangener Emails werfen: Es genügt, unter dem Reiter "Apps" zur Mailbox.app zu navigieren und den Pfad "Documents > Attatchments" zu wählen. Schon sehen Sie etwas kryptisch zwar – Unterordner mit den Mail-Anhängen. In Sachen Kontakten lässt sich mit SQLite, einem kostenlosen Firefox-Plugin, ein ebenfalls im "Documents"-Ordner abgelegtes SQL-File auslesen – darin enthalten: Kontaktinformationen und Mail-Texte im Klartext. Ein schwerwiegender Fehler, vor allem angesichts der relativ einfachen Implementierung der Sicherheitsrelevanten APIs von iOS. Im Moment können wir Ihnen von der Nutzung der App nur abraten!

Mails und Adressen der Kontakte sind mit einfachsten Mitteln auszulesen.
Vergrößern Mails und Adressen der Kontakte sind mit einfachsten Mitteln auszulesen.

Mailbox wurde erst vor kurzem vom Cloud-Speicher-Anbieter Dropbox aufgekauft und hat mittlerweile über Twitter bestätigt, dass sich bereits eine iPad-App in Entwicklung befindet. Eine Desktop-Version ist im Moment nicht in Entwicklung.

0 Kommentare zu diesem Artikel
1758871