35308

Sicherheitsrisiko bei Apples Online-Dienst

21.08.2008 | 15:17 Uhr |

Über die niedrige Geschwindigkeit und die Unzuverlässigkeit haben sich Nutzer von Mobile Me schon oft beschwert. Auf ein grundlegendes Sicherheitsfeature hat Apple wohl absichtlich verzichtet.

Mit Mobile Me können Anwender ihre E-Mails, Adressinformationen und ihren Kalender für verschiedene internetfähige Geräte synchronisieren. Die Anmeldung bei Mobile Me ist zwar verschlüsselt, nicht aber die Daten, die Mobile-Me Nutzer via Browser versenden. Da es keine SSL-Verschlüsselung oder Ähnliches gibt, können Daten eines Nutzers, der über einen Wi-Fi-Hotspot mit dem Internet verbunden ist, von Unbefugten, die denselben Hotspot nutzen, relativ leicht ausspioniert werden.

„Für einen Dienst, der speziell den mobilen Nutzer im Visier hat, ist das schon gewagt“, schreibt ein Nutzer mit dem Pseudonym ShepUK im Macrumors-Forum . Für ihn ist die fehlende SSL-Verschlüsselung ein Grund, Mobile Me nicht zu nutzen.

Im Gegensatz zu Googlemail, das die Möglichkeit zur SSL-Verschlüsselung bietet, versenden zwar auch andere kostenlose Webmail-Dienste wie Yahoo und Microsoft Daten unverschlüsselt. Mobile Me bietet allerdings mehr Möglichkeiten des Datenversands als diese.

Da die Nutzung von Mobile Me immerhin 99 US-Dollar im Jahr kostet, finden viele, dass zumindest grundlegende Sicherheitsanforderungen erfüllt sein müssten. „Ich würde es jetzt nicht als kritische Sicherheitslücke bezeichnen oder es als Grund sehen, auf den Dienst zu verzichten. Aber man sollte zumindest darüber informiert werden“, sagt Noam Rathaus, Technischer Direkt bei der Firma Beyond Security , die Software zum Aufspüren von Sicherheitslücken in Servern, Computern und Netzwerken anbietet. Er hat sich Mobile Me angeschaut und kam zu dem Schluss, dass die Datenübertragung wohl unverschlüsselt erfolgt.

Apple nahm dazu bislang keine Stellung.

Die fehlende Verschlüsselung könnte jedoch zu ernsthaften Sicherheitsproblemen führen. Unbefugte könnten Passwörter von Mobile-Me-Nutzern abgreifen, wenn diese zum Beispiel via E-Mail ein neues Kennwort anfordern.

Wer mit Mobile Me Sicherheitsbedenken hat, sollte für sensible Informationen andere Wege der E-Mail-Kommunikation nutzen, sagt Wolfgang Kandek, Technischer Direktor beim Unternehmen Qualys , das On-Demand-Lösungen für Schwachstellenmanagement und Policy Compliance anbietet. Eine VPN-Software (Virtual Private Network) könnte Anwender schützen. Manche Unternehmen setzen diese aber nur zum Schutz ihrer Server ein, nicht für Internetseiten. In so einem Fall würde ein VPN auch Mobile-Me-Nutzer nichts bringen.

0 Kommentare zu diesem Artikel
35308