CeBIT: Mobile Versionen unsicher

Dienstag, 6. März 2012, 21:36 Uhr |  Autor:

Statements aus der Branche zu “Managing Trust”” (cebit.de)

“Vertrauen und Sicherheit in der digitalen Welt”

Das Leitthema der CeBIT 2012 (6. bis 10. März) “Managing Trust” beschreibt den Prozess der Vertrauensbildung als Basis für Fortschritt und Wachstum in der digitalen Welt. Unternehmen der ITK-Branche erläutern, was sie mit “Managing Trust” verbinden.

Wie ernst meint es die CeBIT denn mit dem “Leitthema”?

iOS-App

Zur CeBIT gibt es natürlich auch eine App für iOS: CeBIT (itunes.apple.com)

CeBIT2go ist der offizielle mobile Messeführer des weltweit wichtigsten und internationalsten Ereignisses der digitalen Industrie.

cebit-ios-k

Schaut man sich die übertragenen Daten beim Login einmal mit Wireshark (wireshark.org) an, so fällt auf, dass im Mitschnitt der Benutzername (E-Mail-Adresse) und das Passwort im Klartext via http übertragen werden. Das Login selber wird zwar per https abgewickelt, aber es wird direkt nach dem Login die Liste der Bookmarks abgefragt und hierbei werden die Logindaten noch einmal im Klartext übertragen. Anstatt die Zugangsdaten noch einmal zu übertragen, sollte natürlich nur die Session-ID des angemeldeten Benutzers übertragen werden und dies alles natürlich auch nur verschlüsselt.
cebit-ios-1-k

Die “Full request URI” zeigt die Daten, die für den Bookmark übertragen werden:
cebit-ios-2-k


Mobile Version für Browser

Wenn man die iOS- oder die Android-App (hier gibt es kein Login) nicht installieren möchte, für den gibt es eine mobile Version: http://www.cebit2go.de/

Für den Session-Cookie ist kein Flag für Secure oder HttpOnly gesetzt.
cebit-browser-1-k

Beim Login wird die Session-ID nicht gewechselt. Dies bedeutet: Der Man-in-the-Middle kann den Inhalt des Session-Cookie aus der anfänglich unverschlüsselten Übertragung mitlesen. Sobald der Benutzer sich per https eingeloggt hat, kann der Angreifer in das Benutzerkonto einbrechen.

Durch die Anfälligkeit für Cross-Site Scripting und das Fehlen des HttpOnly-Flags für den Session-Cookie, in Verbindung mit der Fehlenden IP-Bindung des Client, ergibt sich die Möglichkeit die Session eines Benutzers zu übernehmen und in sein Benutzerkonto einzubrechen.
cebit-browser-2-k


Alles dies ist nicht so kritisch wie es auf den ersten Blick aussieht, da hier kaum sensible Daten vom Benutzer gespeichert werden — es zeigt aber die Konzeptionslosigkeit der Entwickler, die zwar schon mal etwas von SSL gehört haben, aber offensichtlich nicht so recht wissen warum sie es denn überhaupt einsetzen.


Sorry, aber da habe ich überhaupt kein Vertrauen.

Tags »   

Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
Thema: Sicherheit

Kommentare und Pings sind geschlossen.

3 Kommentare

  1. erinnert mich an den alten mann beim anhalter: der mit dem bleistift und dem papier spielt. mal wickelt er das papier um den bleistift, mal reibt er das falsche ende des stiftes über das papier, usw. – die sache an sich, das konzept des schreibens, hat er nicht verstanden. und die handy-typen haben die sache mit der sicherheit noch nicht so ganz verstanden…

  2. Ist nicht gerade ein Aushängeschild für die Entwickler und für die CeBIT – eigentlich eher ein Armutszeugnis und zeugt nicht gerade vom Mitdenken der Beteiligten! Irgendwie erscheint das alles ein wenig “halbherzig”! Zu dem Begriff “Managing Trust” ein weiterer interessanter Artikel: http://blog.iao.fraunhofer.de/home/archives/1176.html

  3. Dem Artikel kann ich nur zu 100% zustimmen. Vertrauen kann man im Netz niemanden. Ich bin vielleicht zu paranoid und ich weiß als Penntester (schauen wo jemand gepennt hat <g>) einfach zu genau wo Fehler auftreten können. Meist ist es ja “nur” Nachlässigkeit und keine böse Absicht, wenn etwas schief läuft.

    Bei Facebook, Google & Co. sind es, bezüglich Datenschutz, aber einfach wirtschaftliche Interessen. Solche Nutzer wie mich, die mag Google einfach nicht (Google will meine Daten zusammenfassen! ;O)) und auch Facebook kommt nicht über meine Schwelle. Wer noch mit der Volkszählung der ’80 aufgewachsen ist, der tickt eben nicht im Facebook-Takt.