1040975

Facetime lässt Unbefugte iTunes-Passwörter ändern

21.10.2010 | 12:55 Uhr |

Apples neue Telefoniesoftware Facetime erlaubt es, dass andere nicht nur die iTunes-Kontodaten einsehen, sondern sogar das iTunes-Passwort ändern können.

Facetime for Mac
Vergrößern Facetime for Mac

Beim Testen von Facetime sind wir auf eine offenbar unglaubliche Sicherheitslücke gestoßen: Durch nicht vorhandene Sicherheitsfunktionen erlaubte es die Facetime-Anwendung für den Mac, dass jeder, der Zugriff auf den Rechner hat, das iTunes-Passwort des Nutzers ändern kann. Dies ist deshalb möglich, weil man in den Einstellungen von Facetime Zugriff auf das iTunes-Konto des angemeldeten Nutzers hat. Dort gibt es den Punkt "Account" und anschließend "Account anzeigen". (Bitte beachten Sie den Nachtrag am Ende des Artikels) .

In den Facetime-Einstellungen kann jeder das iTunes-Passwort ändern.
Vergrößern In den Facetime-Einstellungen kann jeder das iTunes-Passwort ändern.

Hier sieht man nicht nur die Kontodaten wie Name, Geburtsdatum und die Antwort auf die Sicherheitsfrage, sondern kann auch gleich das iTunes-Passwort des Nutzers ändern. Die geschieht ohne weitere Abfrage, beispielsweise des bisherigen Passwortes. So kann jeder, der Zugriff auf einen Mac mit eingeloggter Facetime-Anwendung hat, das iTunes-Passwort dieses Nutzers ändern!

Damit ist der Anwender aus seinem Account ausgesperrt. Einkaufen kann derjenige, der das Passwort geändert hat, mit dem Account aber nicht unbedingt, denn nach dem Ändern des Passwortes fragt iTunes beim nächsten Einkauf erneut nach den Zahlungsdaten. Der Nutzer hat aber kaum eine Chance, seinen Account auf eigene Faust wieder nutzen zu können, zumal man in Facetime auch die Sicherheitsfrage ändern kann.

Deshalb sollte man Facetime auf dem Mac nur nutzen, wenn man auch am Rechner sitzt und sich sonst zwingend davon abmelden! Dies macht man, in dem man in den Einstellungen unter "Account" auf den entsprechenden "Abmelden"-Knopf drückt. Aber selbst das hilft nicht, denn Facetime speichert das Passwort, sodass man nur "anmelden" klicken muss, um Facetime wieder zu verbinden. Apple hat hier grundlegende Sicherheitsmechanismen vernachlässigt. Deshalb sollte man derzeit eventuell ganz auf den Einsatz verzichten.

Nachtrag : Wir konnten dies mehrfach reproduzieren und auch Mobile-Me-Passwörter (falls man eine Mobile-Me-Adresse für Facetime verwendet) kann man aus Facetime heraus ändern.

Zweiter Nachtrag : Nach weiteren Experimenten sieht es so aus, als läge das Problem im Schlusselbund-Zugriff. Facetime hat vollen Zugriff darauf. Man kann dieses Sicherheitsrisiko minimieren, wenn man das Anmeldepasswort aus dem (Dienstprogramm) Schlüsselbund löscht. Dazu öffnet man die gleichnamige Anwendung, wählt den Eintrag "Facetime: Nutzername" und aktiviert den Haken bei "Nach Schlüsselbundkennwort fragen" unter "Zugriff" und entfernt den Eintrag "Facetime" mit dem Minus-Knopf. Dann fragt Facetime bei der Anmeldung nach dem Schlüsselbundpasswort. Abmelden muss man sich aber manuell.

Man muss Facetime die Rechte für den Schlüsselbund entziehen, um die automatische Anmeldung zu verhindern.
Vergrößern Man muss Facetime die Rechte für den Schlüsselbund entziehen, um die automatische Anmeldung zu verhindern.

Wenn man den Schlüsselbundeintrag einfach löscht, legt Facetime ihn beim nächsten Start neu an. Es hilft also nur der obige Weg.

Dritter Nachtrag : Apple hat den Zugriff auf die Account-Übersicht zwischenzeitlich auf Seiten des Servers gesperrt. Man kann die Accountdetails jetzt nicht mehr aus Facetime heraus einsehen oder ändern. Dazu muss man jetzt zunächst sein Apple-Passwort eingeben. Dann kann man die Account-Details anzeigen lassen. Eine Stellungnahme von Apple dazu gibt es derzeit nicht.

0 Kommentare zu diesem Artikel
1040975