1887717

Starbucks reagiert auf Sicherheitslücke in iOS

20.01.2014 | 06:41 Uhr |

Innerhalb von drei Tagen nach der Internet-Veröffentlichung der Lücke stellte Starbucks ein Update mit Verschlüsselung bereit.

Als Antwort auf einen Bericht über eine Sicherheitslücke hat Starbucks ein Update für seine iOS-App zur Verfügung gestellt. Die App wird von Starbucks-Kunden eingesetzt, um über ein Pre-Paid-System in den Starbucks-Filialen zu bezahlen und nebenbei Treuepunkte zu sammeln. Der Sicherheitsexperte Daniel Wood hatte im Dezember Starbucks die Sicherheitslücke gemeldet und anschließend am 13. Januar in seiner Mailingliste veröffentlicht.

Die App speicherte seine Kundendaten, inklusive Kreditkarten-Details, ohne jegliche Verschlüsselung auf den iOS-Geräten. Das alleine ist nicht unbedingt ein Problem, da in iOS die Sandbox-Umgebung dafür sorgt, dass Daten aus einer App nicht unbeabsichtigt von einer anderen App "genutzt" werden. Kritisch wird es erst dann, wenn das iPhone oder iPad ohne Passcode in falsche Hände fällt, oder der Kunde via iTunes - wiederum ohne Verschlüsselung - ein Backup auf den Desktop-Rechner und dort erfolgreich ein Exploit eingesetzt wird, oder aber, wenn der Anwender Jailbreak auf seinem iOS-Gerät einsetzt. Durch Jailbreak werden Apples eingebaute Sicherheitsmaßnahmen ausgehebelt, inklusive der Sandbox-Sperre und andere Apps können ungehindert auf die unverschlüsselten Daten zugreifen.

Im ersten Anlauf hatte Starbucks die Bedeutung der Sicherheitslücke erst einmal heruntergespielt . Die Behebung der bemängelten Sicherheitsmaßnahmen ist in iOS aber einfach genug, dass Startback am letzten Donnerstag prompt ein Update samt Pressemitteilung nachgeschoben hat. Obwohl die Sicherheitslücke seit Jahren bestand, wurde laut Starbucks aber nie ein Missbrauch der unverschlüsselten Informationen gemeldet.

0 Kommentare zu diesem Artikel
1887717