«Things» mit gravierender WLAN-Sicherheitslücke
Mittwoch, 15. Juli 2009 um 5:25 UhrDie GTD-Anwendung «Things» ist je in einer Version für den Mac und für das iPhone beziehungsweise den iPod Touch («Things Touch») verfügbar. Für Benutzer beider Versionen steht eine Synchronisationsmöglichkeit zwischen Mac und iTouch zur Verfügung, die eine WLAN-Verbindung nutzt – und leider alle Daten unverschlüsselt im Klartext überträgt … 
(Vielen Dank für die Leserhinweise auf die Problematik inklusive dem Hinweis auf die entsprechende aktuelle Diskussion im nicht mehr verlinkten, aber immer noch verfügbaren «Things»-Diskussionsforum!)
Um die Problematik zu verifizieren, erstellte ich eine neue Aufgabe namens «erdbeere» mit dem Tag «himbeere» und der Notiz «blaubeere» …
… anschliessend zeichnete ich die während der «Things»-Synchronisation übertragenen Daten mit dem Cocoa Packet Analyzer (CPA) auf und suchte nach den «beerigen» Zeichenketten aus der oben erwähnten Aufgabe – leider für alle drei Zeichenketten mit Erfolg! 
Im Ergebnis konnte ich so verifizieren, dass die WLAN-Synchronisation von «Things» ohne Verschlüsselung und im Klartext abläuft. Benutzer, die Wert auf die Vertraulichkeit ihrer Daten legen, sollten die WLAN-Synchronisation von «Things» deshalb nur noch in verschlüsselten WLANs verwenden, in denen sich ausschliesslich vertrauenswürdige Benutzer bewegen. In öffentlichen WLANs ist von der Verwendung der «Things»-WLAN-Synchronisation abzuraten.
Wie konnte den Entwicklern bei Cultured Code ein solcher Anfängerfehler unterlaufen? 
Ich habe Cultured Code per E-Mail um eine Bestätigung und eine allfällige Stellungnahme gebeten. Bei einer etwaigen Antwort von Cultured Code werde ich diesen Blogeintrag entsprechend ergänzen. Da ich meine E-Mail-Anfrage mitten in der Nacht an Cultured Code sandte, rechne ich frühestens im Lauf des heutigen Tages mit einer Rückmeldung.
Nachtrag vom 18. Juli 2009, 19.30 Uhr: Cultured Code hat meine Anfrage noch nicht beantwortet, aber ein «Things»-Benutzer hat auf seine entsprechende Anfrage eine Antwort erhalten – siehe dazu «Cultured Code: Sicherheit ist Benutzersache».
Ähm, das ist ja eher eine Sicherheitslücke vom WLAN und weniger von der Applikation: Grundsätzlich sind alle unverschlüsselten Daten im unverschlüsselten WLAN für alle ersichtlich…
(Wenn ich daran denke wieviele unverschlüsselte Mail-Passwörter da rumgefunkt werden, wird mir fast schlecht.)
Nein, es handelt sich eindeutig um eine Sicherheitslücke in «Things» – es gibt keine Möglichkeit, per WLAN die Datenübertragung zwischen zwei Anwendungen für einen einzelnen Benutzer abzusichern.
In anderen schlechten Beispielen sehe ich keinen Grund, wieso man Cultured Code eine solch gravierende Sicherheitslücke durchgehen lassen sollte … zumal bei seriösen E-Mail-Anbietern jeweils SSL für die gesamte E-Mail-Kommunikation verfügbar ist.
Ähm, das ist eine Sicherheitslücke von Things und weniger von WLAN. Du hast nicht verstanden, wie ein verschlüsseltes WLAN funktioniert. Als Tipp: Shared Medium!
“Uh,” christian, you do know that on a typical encrypted WLAN network, the users may well all be using the same key.
WLAN security is definitely not the issue here. It’s Things’ syncing security. It’s not just about eves-dropping. Since Things Touch syncs automatically if it finds a Things Mac installation with the corresponding 4-digit ID, you could even go fishing for Things data on iPhones and iPods Touch.
Step 1: Get online with your Mac in a WLAN with Things Touch users.
Step 2: Get the sync IDs with a Wireshark etc.
Step 3: Set your Things Mac to use this IDs (by manually editing the configuration file).
Step 4: Wait and have fun!
Things hat bekanntlich dieses Jahr einen Apple Design Award erhalten. Die Begründung:
Things sets a new standard for Mac OS X developers for design, localization, and building complimentary Mac and iPhone apps that are fully synced.
Things is an easy to use personal task manager that allows users to easily keep track of to-dos, projects, and even work they are waiting for others to complete. Things for Mac OS X is fully scriptable using Applescript, has an innovative tag bar, adaptive smart lists, excellent technology adoption, wide system integration with Services, iCal, iChat, Mail, and Address Book, and seamless data syncing to Things on iPhone with Bonjour.
Es stimmt ja fast alles. Aber die Synchronisierung ist weder seamless noch secure. Wie kommt eine solche App überhaupt in den App Store?
Nebenbei – Cultured Code ist in «guter» Gesellschaft, mit Biz Stone (Twitter) bekundet noch ein anderes Start-up grösste Mühe mit grundlegenden Sicherheitsmassnahmen:
«Another Security Tip For Twitter: Don’t Use “Password” As Your Server Password»
(via TechCrunch)
Zahlreiche Webmailanbieter (auch Gmail) verschlüsseln oft nur den Login per https – der Rest folgt im Klartext als http. Wer also in einem öffentlichen WLAN oder in einem Internetcafé z.B. Gmail nutzt (ohne https zu erzwingen), hat wohl ein größeres Problem als die Things-Synchro.
Stimmt, wobei man bei Gmail immerhin in den Einstellungen auf durchgängiges https:// umschalten kann (oder man verwendet die Mozilla Firefox-Erweiterung CustomizeGoogle).
Möglich, aber kein Grund, wieso die Cultured Code-Entwickler von «Things» grundlegende Sicherheitsmassnahmen nicht implementieren sollten. Leider zeigt die bislang ausbleibende Reaktion von Cultured Code, dass man dort überhaupt nichts von Sicherheit hält …
Bei Mobile Me kann man nicht mal https einstellen (außer zum Login). Sicherheit wird in der Mac-Welt leider nicht so groß geschrieben, wie sie sollte. Das scheint sich auch auf die Software-Entwickler auszuwirken. Ich gleiche Things nur im privaten WLAN ab, von daher betrifft es mich momentan nicht, aber eine Verschlüsselung zu implementieren, sollte eigentlich kein Problem sein.
Immerhin hat Apple es mit dem iPhone 3GS geschafft, eine Hardwareverschlüsselung zu implementieren, was bei einem Gerät, dass u.U. tausende persönliche Daten enthält, aber verlust- und diebstahlsanfällig ist, ein Muss sein sollte. Vielleicht tut sich ja in der Mac-Welt endlich mal was in dieser Richtung.
Leider – eine Altlast aus «.Mac»:
http://www.macmacken.com/2007/.....uesselung/
Richtig, zumal auch das übliche Argument der übermässigen Serverlast durch Verschlüsselung nicht spielt. iPhone/iPod Touch und Mac sind leistungsfähig genug um das bisschen Text, das bei Things synchronisiert wird, durchgängig zu verschlüsseln, die entsprechenden «Bordmittel» sind vorhanden.
P.S.:
Ist eigentlich bekannt, wieso nur das neue iPhone über diese Verschlüsselungsmöglichkeit verfügt?