Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Datenleck: Apple ID auf ungeschützten Servern durch iOS-App TeenSafe

Die Softwareschmiede TeenSafe ging offenbar fahrlässig mit Kundendaten um. Das im App Store für iPhone, iPad und iPod touch verfügbare Programm des Unternehmens hat ZDNet zufolge die Apple ID der Nutzer sowie das dazugehörige Passwort auf mindestens einem der verwendeten Server ohne Sicherheitsbarriere und im Klartext gespeichert. ZDNet erhielt die Informationen zum Datenleck von Sicherheitsexperte Robert Wiggins.


TeenSafe sichert sensible Kundendaten auf ungeschütztem Server
Konkret geht es um die App TeenSafe, mit der Eltern das Smartphone-Nutzungsverhalten ihrer Kinder überwachen können. Die Software kontrolliert diverse Smartphone-Funktionen, darunter Textnachrichten, Standorte, Telefonate, Browser-Verlauf und die installierten Apps. Eltern richten TeenSafe über ihr iOS- oder Android-Gerät ein und können im Folgeschritt zum Beispiel das iPhone ihres Kindes „anzapfen“, um herauszufinden, wo sich der eigene Nachwuchs momentan befindet und mit wem er chattet.


Das Unternehmen nutzt für den Dienst laut ZDNet Amazon-Server. Dort waren die Daten diverser Eltern und Kinder ohne Passwortschutz und damit für jeden zugänglich gespeichert. Die betroffene Datenbank von TeenSafe enthält die mit dem Service verbundene E-Mail-Adresse der Eltern und die E-Mail, die die Kinder für ihre Apple ID verwenden. Auch das Passwort der Apple ID war für jeden sichtbar. Hinzu kommt der Gerätename und die individuelle Kennung des überwachten iDevice. iPhone-Inhalte wie Fotos oder Chat-Inhalte sollen nicht betroffen sein.

TeenSafe verlangt Deaktivierung der Zwei-Faktor-Authentifizierung
Besonders brenzlig: TeenSafe verlangt, dass die Zwei-Faktor-Authentifizierung des Zielgeräts deaktiviert wird. Angreifer können sich mit der abgegriffenen Apple ID samt Passwort somit problemlos in den jeweiligen Account einloggen, da es keine zusätzliche Barriere wie den Zwei-Faktor-Schutz gibt. Grundsätzlich empfiehlt es sich ohnehin nicht, die Apple ID und das Passwort an Drittanbieter weiterzugeben.

Das Unternehmen hat nach der Veröffentlichung des Berichts erste Maßnahmen ergriffen: „Wir haben einen unserer Server für die Öffentlichkeit geschlossen und Kunden informiert, die möglicherweise betroffen sind“, so TeenSafe. Ersten Erkenntnissen zufolge waren zwei der vom App-Anbieter verwendeten Server inklusive der darauf befindlichen Daten für die Öffentlichkeit zugänglich. Einer davon soll aber nur für Testzwecke verwendet worden sein und entsprechend keine echten Kundendaten beinhalten.
Steht ein "Apple Smart Ring" kurz vor Veröffentlichung?
Steht ein "Apple Smart Ring" kurz vor Veröffent...
Günstige "AirPods Lite" geplant?
Günstige "AirPods Lite" geplant?
Berichte zum iPhone 16: Zurück zum alten Design der Kamera, neuartiger Button an der Seite für Fotos und Videos
Berichte zum iPhone 16: Zurück zum alten Design...
MacBook Air M3: Erste Geschwindigkeitsvergleiche aufgetaucht
MacBook Air M3: Erste Geschwindigkeitsvergleich...
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
Bald macOS 14.5 & iOS 17.5
Bald macOS 14.5 & iOS 17.5
iPhone 16 Pro Max: 100-Stunden-Akku und größeres Display?
iPhone 16 Pro Max: 100-Stunden-Akku und größere...
Safari: iOS 18 enthält angeblich den "Browsing Assistant" +++ massive Performance-Verbesserungen in WebKit
Safari: iOS 18 enthält angeblich den "Browsing ...

Kommentare

iGod22.05.18 13:38
Was für eine ekelhafte App. Was müssen das für Eltern sein, die ihr Kind so überwachen?
+10
elBohu
elBohu22.05.18 13:48
Und was müssen das für eine Firma sein, die eine solche app vollkommen ungeschützt betreibt?
iGod, ich nehme an du hast keine Kinder.
wyrd bið ful aræd
0
pünktchen
pünktchen22.05.18 13:50
Ich hab Kinder und ich finde so ein Stasiverhalten genauso widerlich wie iGod.
+15
MLOS22.05.18 13:58
Gab es nicht mal irgendwas zu den Drittanbieter-Apps, die dieple-ID benötigen, dass man da auch die 2-Faktor-Authentifizierung hat? Seltsam, dass das nicht kräftig durchgesetzt wird und die App sogar zugelassen wird
+2
nowMAC22.05.18 13:59
Und was sind das für Prüfungen die bei Apple zulassen, dass solche Apps den AppStore erreichen?
Ne Ne, seit Steve Jobs nicht mehr da ist....
+8
gorgont
gorgont22.05.18 14:01
pünktchen
Ich hab Kinder und ich finde so ein Stasiverhalten genauso widerlich wie iGod.

Wenn man manchmal sieht was die Kinder sich rumschicken dann wundert es mich nicht, dass solche Apps auch genutzt werden.
Besser ist es seine Kinder aufzuklären damit sie im Fall der Fälle die Eltern direkt informieren.
touch eyeballs to screen for cheap laser surgery
+3
Oligabler
Oligabler22.05.18 14:19
iGod

Ich habe auch ein Kind in dem Alter von 9 Jahren,
Wo ich ihr das iPhone gebenen habe, haben wir ganz offen über das Thema gesprochen und sie weiß das ich gelegentlich in ihr Handy schaue. Aber in ihrem Beisein, und für sie ist es in Ordnung, und für mich auch. Einer der Gründe warum ich ihr ein iPhone gekauft habe ist die Ortungsdienste Funktion, wenn sie alleine zum Sport fährt oder sonst wo hin, finde ich das praktisch, aber wie gesagt wir reden darüber und ich mache es nicht heimlich. Grade in der heutigen Zeit, sollten Eltern ein Auge drauf haben!
+5
sierkb22.05.18 14:27
nowMAC
Und was sind das für Prüfungen die bei Apple zulassen, dass solche Apps den AppStore erreichen?

Gute Frage.

heise (16.05.2018): Apps verraten Standort an Dritte: Apple überprüft App Store offenbar nicht systematisch
Die stille Übermittlung von Nutzer-Aufenthaltsorten an Werbefirmen bleibt trotz Apples jüngsten Gegenmaßnahmen ein Problem im App Store.
+1
klatuu22.05.18 14:33
Sorry, ist nicht persönlich... aber wenn ich schon lese "Grade in der heutigen Zeit"...
Es war noch nie so sicher in diesem Land wie heute, die wilde Panikmache der CSU,CDU,AFD und Konsortien ist schon schlimm genug, widerspricht aber allen Kriminalstatistiken. Als Kind sind wir Kilometer mit dem öffentlichen Bus gefahren, danach noch 15 Minuten zu Fuß, komplett alleine, ohne Handy, was müssen wir für verantwortungslose Eltern gehabt haben.
Wenn die Polizei schon am Flughafen aufläuft um Schulschwänzer zu ermitteln, dann haben wir echt keine wirklichen Probleme.
Aber nochmal zurück zum Thema: Kinder brauchen Freiheiten und Kinder müssen auch mal was falsch machen können. Wer mit so einer App seine Kinder überwacht, Wahnsinn. Und ich dachte der Höhepunkt wäre mit "Kinder werden jeden Tag zur Schule mit dem SUV gebracht, auch wenn es nur 200m von der Wohnung bis zur Schule sind" erreicht....
Naja, schlimmer geht offensichtlich immer
+6
Pinguin77722.05.18 14:41
Wenn Hacker gehackt werden... geschieht ihnen das recht!
+1
DTP
DTP22.05.18 14:47
Was ich mich frage ist, wie kommt denn die App an die Apple Passwörter, die sollten ja gehasht werden und nicht als Klartext abgelegt sein?

Oder hat die App die Apple ID Passwörter abgefragt und abgespeichert?

(Und was soll der Seitenhieb auf Amazon, die haben ja nichts damit zu tun?)
+1
Langer
Langer22.05.18 14:57
Ich habe bis eben gedacht, dass die iOS Bordmittel zum "Überwachen" ausreichen.

Das Ding hat ja zwei Seiten: Rechtlich bin ich für das, was meine Kids (u.a. im Netz) anstellen, verantwortlich. Daher will ich ggf. auf die Geräte durchgreifen können. Das wissen und akzeptieren sie (noch ). Diese Bordmittel - App Freigabe, InApp Sperre, Freunde finden usw. - schätze ich an iOS.

Auf der anderen Seite müssen Kinder Ihre Freiheiten ausleben und -testen. Da bleibt nur aufklären, vertrauen, lieben und starke Nerven haben .

Das ursprüngliche Thema hiess jedoch: "Datenleck: Apple ID auf ungeschützten Servern". Damit ist die Nutzung der App für mich ausgeschlossen.
+3
marco m.
marco m.22.05.18 15:21
elBohu
iGod, ich nehme an du hast keine Kinder.
Das sehe ich aber auch so wie iGod. Wer so wenig Vertrauen hat, der sollte seinen Kindern auch kein Smartphone kaufen. Standorte kann ich bei bestimmten Situationen verstehen, alles andere nicht.
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
+2
WollesMac
WollesMac22.05.18 16:40
So richtig glaube ich die Meldung nicht. Die Apple-id ist doch völlig unproblematisch, da doch lediglich eine Mailadresse. Das dazugehörige Passwort für den Apple-Account ist das Wesentliche und das kann ich mir hingegen nicht vorstellen. Nur wenn es vom Nutzer auch für die App selbst genommen würde, dann ok. Ich kann mir aber momentan nicht vorstellen, dass die App quasi Apple-eigene Kennwörter von wo auch immer abfischt.
-3
marco m.
marco m.22.05.18 17:04
Auch wenn dem nicht so ist, kannst du Dank passender Software und fehlender Zwei-Faktor-Authentifizierung das Passwort ziemlich einfach herausfinden.
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
-1
WollesMac
WollesMac22.05.18 17:11
Ok, das ist mir neu, wie geht das in etwa? Und macht da Apple Mist?
0
WollesMac
WollesMac22.05.18 17:13
Oder denke ich zu kompliziert und das besagte Programm fragt schlicht und offen nach der Apple-ID?
+1
schaudi
schaudi22.05.18 18:09
WollesMac
Oder denke ich zu kompliziert und das besagte Programm fragt schlicht und offen nach der Apple-ID?

So wie ich es Verstanden habe: JA!

Die Eltern laden es Runter und instalieren es. Die App hat jetzt deren AppleID.
Jetzt geben die Eltern in der App, sowohl AppleID, als auch PW des Kindes ein und auf dessen Gerät muss 2-Faktor .. ausgeschaltet werden. Die beiden AppleIDs und das eine PW landen dabei offensichtlich ganz einfach im Klartext auf den Servern der App.
Die App logt sich dann quasi einfach nur in den iCloud Account ein und zeigt den Eltern sämtliche Daten des Accounts auf deren Handy in der App an.
Fazit: Echt Krank

DTP Welcher Seitenhieb auf Amazon? Es wird einfach nur erwähnt, dass die Daten nunmal dort gelagert werden.
Hier persönlichen Slogan eingeben.
+5
WollesMac
WollesMac22.05.18 18:17
Das ist dann in der Tat in vielfacher Hinsicht krank...
+1
Geegah
Geegah22.05.18 19:42
marco m.
elBohu
iGod, ich nehme an du hast keine Kinder.
Das sehe ich aber auch so wie iGod. Wer so wenig Vertrauen hat, der sollte seinen Kindern auch kein Smartphone kaufen. Standorte kann ich bei bestimmten Situationen verstehen, alles andere nicht.

Exakt meine Meinung!
Und ich habe ein Kind, auch wenn’s noch nicht im Internet-Nutzenden-Alter ist.
+2
jlattke22.05.18 20:03
@nowMac
Finde ich wirklich lustig, wer sich hier über was aufregt. Aber das Apple hier massiv Mist macht und man 1. entweder die Apple ID überhaupt in der Form weitergibt (!!!!) und/oder 2. bei der QS so nachlässig ist, das stört hier wohl eher niemanden. Die Entwickler sind natürlich die Buhmänner … So wie das im Artikel beschrieben ist, liegt das Versagen ja wohl bei Apple. Ich könnte kotzen und bin davon ausgegangen das jede App immer nur gegen einen Apple-Verzeichnisdienst authentifizieren kann – aber nie an die Klarinfo kommt. Und wenn das alles manuell eingegeben wird (wie Schaut schreibt), hat Apples Qualitätsabteiliung wohl mal einen kompletten Schuss – sowas durchzuwinken ist fahrlässig. Und genau die Sicherheit ist ja das, worauf man sich verlässt und weshalb man die „Gängelung“ App-Store gern in Kauf nimmt.
-2
WollesMac
WollesMac22.05.18 20:33
Also so einfach ist es wohl nicht. Immerhin gibt der Anwender das zur Apple-ID erforderliche Passwort selbst im besagten Programm quasi im Klartext ein. Dann ist wohl klar, dass eine Verschlüsselung von Apple gar nicht zum Zuge kommen kann. Somit sind die App-Entwickler und nicht Apple die Buhmänner.
Ob dieser Weg, also die Herausgabe der vorgenannten Daten, für die Nutzung der App direkt in der App zwingend erforderlich sein muss, erschließt sich mir immer noch nicht - trotz der vorgenannten Beiträge. Wenn ja, wäre dies schlecht gelöst - von Apple.
0
dan@mac
dan@mac23.05.18 00:04
marco m.
Auch wenn dem nicht so ist, kannst du Dank passender Software und fehlender Zwei-Faktor-Authentifizierung das Passwort ziemlich einfach herausfinden.
Quatsch. Wie soll das gehen? Bin gespannt, wenn es doch so einfach ist.
-1
dan@mac
dan@mac23.05.18 00:09
schaudi
WollesMac
Oder denke ich zu kompliziert und das besagte Programm fragt schlicht und offen nach der Apple-ID?

So wie ich es Verstanden habe: JA!

Die Eltern laden es Runter und instalieren es. Die App hat jetzt deren AppleID.

Kleine Anmerkung: Als Entwickler hast du nur Zugriff auf die Apple-ID wenn der Benutzer explizit aufgefordert wird diese einzugeben und das auch macht. Es gibt keine API oder dergleichen.

Oligabler
Ich habe auch ein Kind in dem Alter von 9 Jahren,
Wo ich ihr das iPhone gebenen habe (...)


0
marco m.
marco m.23.05.18 04:28
WollesMac
Oder denke ich zu kompliziert und das besagte Programm fragt schlicht und offen nach der Apple-ID?

Wie schaudi schrieb, wird das so ablaufen. Was ich Übrigens nirgends, außer bei Apple direkt, bzw. zu Apple direkt eingeben würde.
Man sollte sich auch im Klaren sein, daß das jede Tastatur von Drittanbietern kann. Was man eingibt, kann man speichern. Sofern man nicht so schlau ist, und das gleich deaktiviert.

dan@mac
marco m.
Auch wenn dem nicht so ist, kannst du Dank passender Software und fehlender Zwei-Faktor-Authentifizierung das Passwort ziemlich einfach herausfinden.
Quatsch. Wie soll das gehen? Bin gespannt, wenn es doch so einfach ist.

Wo lebst du denn? Ist ja auch noch nie passiert, daß man Nutzernamen und Passwort abgegriffen hat. Wie das genau geht, weiß ich natürlich nicht, aber das es geht, haben die letzten Jahre eindrucksvoll gezeigt!
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
0
dan@mac
dan@mac23.05.18 10:52
Natürlich lässt sich sowas abgreifen mit Social Hacking oder unter Ausnutzung nicht gestopfter Sicherheitslücken. In deinem Kommentar klingt es aber als bräuchte man lädt man sich nur eine Software aus dem Internet und kann dann mit einem Klick Apple-ID samt Passwort eines jeden beliebigen Nutzers herausfinden. Dem ist definitiv nicht so.
0
marco m.
marco m.23.05.18 17:31
So war das ja auch nicht gemeint. Ich dachte, daß weiß man, daß ich damit Hacker meine, und nicht jeden X-beliebigen Nutzer.
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.