Wenn es dich erwischt, dann richtig. Das könnte man auch für Apple und seinen vor kaum fünf Wochen gestarteten Dienst MobileMe sagen, denn derzeit machen die nächsten Schwächen von sich reden. Diesmal ist es die mangelnde Sicherung der auf dem Webservice abgelegten Daten und vor allem der ungeschützte Nutzernamen. Apple scheint hier sehr sorglos mit der Sicherheit umzugehen
MobileMe wurde von Apple als „Exchange für den Rest von uns“ angepriesen. eine Sache die Microsoft Exchange so administartionsaufwändig macht, sind die umfangreiche Sicherung, Verschlüsselung und der Schutz der Daten. Laut der Webseite TechCrunch soll es für Bösewichte sehr simpel sein, an die Daten heran zu kommen. Sobald man die E-Mail-Adresse eines MobileMe-Nutzers hat, kennt man auch dessen Benutzernamen, indem man das „@me.com“ oder „@mac.com“ weglässt. Umgekehrt haben Spammer durch Ergänzung des Benutzernamens mit „@me.com“ oder „@mac.com“ die E-Mail-Adresse und können mit Phishing-Mails und Spammüll loslegen.
Nutzername simpel zu finden
An den Nutzernamen zu kommen, ist einfach, denn er steht im Prinzip im Klartext in der URL der iDisk, die jedem Nutzer von MobileMe zur Verfügung steht und die er auch öffentlich machen kann, beispielsweise um Daten mit anderen zu teilen. So soll sich laut TechCrunch hinter der nachfolgenden iDisk-URL, niemand anderes Account verbergen, als von Steve Jobs: http://idisk.mac.com/steve-Public?view=web. Träfe das zu, könnte man jetzt über steve@mac.com Mails an den Apple-Boss senden. Allerdings haben wir durch herumprobieren auch unter der URL http://idisk.mac.com/stevejobs-Public?view=web eine iDisk gefunden. Die URLs funktionieren genauso mit http://idisk.me.com/… Diese URL eines öffentlichen Ordners von MobileMe bleibt auch sichtbar, wenn der Ordner leer ist. Man kann als Nutzer also beispielsweise diesen Webzugang zur iDisk nicht abschalten oder ausblenden. Der Nutzername ist also quasi immer „findbar“. Zudem zeigt die unter dieser URL zu findende Seite auch an, wie viel Speicherplatz bereits verbraucht ist. Eine Info, die Hacker neugierig machen könnte.
Schutz der Nutzernamen schlecht
Damit nicht genug, denn der Nutzername ist natürlich auch in den URLs enthalten, die der Nutzer von MobileMe ganz bewusst beispielsweise über iWeb generiert und veröffentlich. Ob Blog, oder Online-Photoalbum, die URL verrät immer den Benutzername: http://web.me.com/hier_steht_der_nutzername/Website/Leer.html Und aus diesem lässt sich, wie gesagt, die E-Mail-Adresse generieren. Es gibt nur eine Möglichkeit das zu umgehen. Wenn man eine eigene Domain hat, kann man MobileMe benutzen, um eine Webseite unter dieser zur Veröffentlichen. Dann wird die Domain auf die MobileMe-URL geroutet und in der Browserzeile bleibt diese Domain stehen. Um das zu nutzen, muss man zunächst in MobileMe bei „Persönliche Domain“ diese Domain eintragen und dann bei dem Registrar oder Provider, bei dem man diese Domain gebucht hat, web.me.com als „www“ CNAME (Alias) für die Domain definieren. Das hilft aber nur für auf MobileMe gehostete Webseiten, nicht aber für die iDisk!
Ein Repräsentant von Apple wird auf TechCrunch zitiert (übersetzt): „Wir haben nie von einem Kunden eine Beschwerde bekommen, das sie gespammt werden wegen ihres öffentlichen iDisk-Ordners. Es gibt keine Möglichkeit, den Account-Namen aus dem öffentlichen Ordner zu entfernen. Das tut mir sehr leid.“ Apple sagt also hier einfach nur „dumm gelaufen, Pech gehabt!“ Apple sollte hier nicht sagen „I‘m very sorry“, sondern sehr schnell nachbessern und zumindest in die Einstellungsmenüs von MobileMe die Möglichkeit einbinden, die URL des Public Folders auf Wunsch abschalten oder sogar durch einen Alias ersetzen zu können.
Problematisch soll weiterhin sein, dass Apple in Sachen Verschlüsselung nur die Login-Daten codiert, nicht aber die Daten, die ein MobileMe-Nutzer auf seinem Account speichert. SSL und Datenverschlüsselung sucht man vergeblich in den URLs des Adressbuches oder des Kalenders. Die Daten liegen also im Prinzip offen auf den Servern. Lediglich die Seiten für die Konfiguration des Accounts laufen über https. auch hier sollte Apple dringend nachbessern!
Loading ...
