Cultured Code: Sicherheit ist Benutzersache

Am Mittwoch berichtete ich über eine gravierende Sicherheitslücke in der GTD-Anwendung «Things» auf iPhone/iPod Touch und Mac – die Synchronisation per WLAN erfolgt im Klartext, das heisst ohne jede Verschlüsselung! 🙄

Meine entsprechende Anfrage an die «Things»-Entwickler von Cultured Code blieb bislang unbeantwortet, doch ein anderer Benutzer hat auf seine entsprechende Anfrage eine Antwort erhalten und mir diese freundlicherweise weitergeleitet.

In seiner Anfrage hatte der erwähnte Benutzer die Sicherheitslücke beschrieben und anregt, Cultured Code solle die Sicherheitslücke so bald wie möglich beheben und bis dahin eine entsprechende Warnung an die Benutzer ausgeben. Nachfolgend die Antwort von Cultured Code …

We recommend that you do not sync over public wifi if security is an issue. You can create a computer to computer network with security enabled in order to sync in a public forum in this way if security is required for your sync.

Hope this helps!
Mark

… auf Deutsch übersetzt bedeutet die Antwort, dass Cultured Code keine Veranlassung sieht, die Sicherheitslücke zu beheben. Cultured Code rät stattdessen von der Synchronisation in Public WLANs ab und empfiehlt dem Benutzer darüber hinaus, selbst für eine sichere Verbindung zu sorgen – falls Sicherheit denn überhaupt ein Bedürfnis beziehungsweise Thema sein.

Cultured Code erklärt damit die Sicherheit der «Things»-Benutzerdaten, die synchronisiert werden, zur Verantwortung des Benutzers anstatt die Sicherheitslücke so schnell wie möglich zu beheben – Sicherheit ist für Cultured Code offensichtlich Benutzersache! 👿

5 Comments

  1. tioan
    18. Juli 2009

    Sehr sehr schade diese einstellung fand things und die leute von culture code bislang recht gut, aber solch eine einstellung geht echt nicht, den aussehen ist halt nicht alles, sicher sollte das zeugs dann bitte schön auch sein.

    Reply
  2. Phillipp
    1. August 2009

    Ja, aber das allgemeine Problem dabei ist das ja dier Verschlüsselung das ganze tool beim Synchronisieren noch langsamer macht. Da ja eher zu erwarten ist das die Leute in ihrem privaten Netzwerk zu Hause die Daten synchronisieren, sieht sich Cultured Code nicht gezwungen das zu ändern. Da ja aus der E-Mail herauszulesen ist das Cultured Code es empfiehlt nur im eigenen Wlan zu synchronisieren, ist dies keine hoch gefährliche Lücke. Natürlich könnte Cultured Code mehr Interesse zeigen, es könnte aber sehr gut sein das diese Lücke in der nächsten Version berücksichtigt wird. Jedenfalls wird mich diese Lücke nicht davon abhalten Things regelmäßig zu nutzen.

    Reply
    • Martin (MacMacken)
      1. August 2009

      Ja, aber das allgemeine Problem dabei ist das ja dier Verschlüsselung das ganze tool beim Synchronisieren noch langsamer macht.

      Das iPhone kann problemlos mit WPA2-WLANs, die mit AES verschlüsselt werden, kommunizieren. Da soll das bisschen Text zur Synchronisation mit «Things» ein Problem darstellen? ❓

      Da ja eher zu erwarten ist das die Leute in ihrem privaten Netzwerk zu Hause die Daten synchronisieren, sieht sich Cultured Code nicht gezwungen das zu ändern.

      Richtig, Cultured Code hält Sicherheit offensichtlich für Benutzersache – auch ein privates WLAN ist nicht per sicher und auch in einem privaten sicheren WLAN möchte Benutzer A vielleicht nicht, dass Benutzer B im gleichen WLAN seine «Things»-Daten mitlesen kann, beispielsweise zwischen Eltern und Kindern oder unter Geschwistern.

      Da ja aus der E-Mail herauszulesen ist das Cultured Code es empfiehlt nur im eigenen Wlan zu synchronisieren, ist dies keine hoch gefährliche Lücke.

      Mein «Things» hat mir nie eine solche «Empfehlung» angezeigt. Und in der oben zitierten E-Mail empfiehlt Cultured Code, die Verbindung selbst zu sichern … leider ohne zu erwähnen, wie genau dazu vorzugehen ist.

      Natürlich könnte Cultured Code mehr Interesse zeigen, es könnte aber sehr gut sein das diese Lücke in der nächsten Version berücksichtigt wird.

      Cultured Code ist nicht in der Lage, schon längst bekannte Fehler oder selbst publizierte Funktionen zu implementieren. Im Bezug auf obige Sicherheitslücke gibt es bislang keinerlei öffentliche Reaktion, meine Anfrage blieb bislang unbeantwortet … insofern bin ich pessimistisch – aber vielleicht weiss man bei Cultured Code über den bedauerlichen Missstand, dass die meisten Apple-Kunden in Sachen Sicherheit völlig arglos unterwegs sind …

      Jedenfalls wird mich diese Lücke nicht davon abhalten Things regelmäßig zu nutzen.

      😉

    • Phillipp
      1. August 2009

      Stimmt auch alles wieder muss ich dir vollkommen recht geben. Ja gut ich war selbst schon per E-Mail mit Cultured Code persönlich in Kontakt, ist halt eben ein sehr sehr kleines Entwicklerstudio. Das ist aber ja bei Software für den Mac allgemein so, dass wir immer die kleinen Entwicklerstudios haben. Naja beobachten wirs einfach. Cultured Code gibt es jetzt ja auch noch nicht so lange, wir werden sehen wie die Firma sich entwickelt. Hoffen wir mal das Beste. Zu dem Problem mit der Geschwindigkeit, ist halt so das im Endeffekt eine eigene Klasse zur Ver-/Entschlüsslung geschrieben werden müsste. Das ist oft schwer und auch ein Problem, das die Software vielleicht teilweise langsamer läuft beim Synchronisieren. Aber es könnte natürlich auch sein das Cultured Code einfach keine Klasse schreiben will! Das wäre sehr unschön. Naja schauen wir auf die Entwicklung. Finde trotzdem sehr gut von dir einfach mal nach Sicherheitslücken zu suchen! Ich sehe es jetzt nicht als eine so kritische Lücke an, das die Software sehr gefährlich gefährdet wäre oder so. Sowohl bräuchte man Familienmitglieder die den Netzwerkverkehr abfangen können, die hab ich z.B. nicht 😀 somit ist das kein Problem.

    • Martin (MacMacken)
      1. August 2009

      Da möchte ich gar nicht widersprechen! 😉

      Gute Nacht und ein schönes Wochenende! 😀

Leave a Reply