{"id":2239,"date":"2014-01-20T11:00:34","date_gmt":"2014-01-20T11:00:34","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=2239"},"modified":"2020-02-26T18:31:08","modified_gmt":"2020-02-26T16:31:08","slug":"starbucks-handelt-schnell-und-schliest-sicherheitslucke-in-app","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/starbucks-handelt-schnell-und-schliest-sicherheitslucke-in-app\/2239\/","title":{"rendered":"Starbucks handelt schnell und schlie\u00dft Sicherheitsl\u00fccke in App"},"content":{"rendered":"<p>In der letzten Woche gab es einige <a href=\"https:\/\/threatpost.com\/starbucks-app-stores-user-information-passwords-in-clear-text\/103649\" target=\"_blank\" rel=\"noopener nofollow\">Berichte<\/a>, dass die iOS-App von Starbucks private Informationen der Anwender weitergeben k\u00f6nnte. Dennoch muss man das Unternehmen loben \u2013 vor allem, wenn man bedenkt, dass es sich hier nicht um eine Technologiefirma handelt. Denn Starbucks hat schnell reagiert und bereits ein Update f\u00fcr die App ver\u00f6ffentlicht.<\/p>\n<p>Klar, Starbucks hat nat\u00fcrlich die entsprechenden Mittel dazu, doch die Sicherheitsl\u00fccke wurde Ende Dezember entdeckt und gleich im Januar geschlossen \u2013 f\u00fcr Sicherheitsupdates ist das sehr respektabel. Die Entdeckung von Sicherheitsl\u00fccken und deren schlussendliches Schlie\u00dfen geht oft einher mit Dementis des betroffenen Unternehmens, Spitzfindigkeiten und monatelangem Hin-und-Her bis das Problem gel\u00f6st ist.<\/p>\n<p>Ich erspare Ihnen die schrecklichsten technischen Details, doch die Sicherheitsl\u00fccke existierte bis 16. Januar in der aktuellsten Version der App: Version 2.6.1 f\u00fcr iOS. Wie gesagt, hat das Unternehmen die Sicherheitsl\u00fccke mit der Ver\u00f6ffentlichung der Version 2.6.2 geschlossen. Diese neue Version finden Sie nun im App Store von <a href=\"https:\/\/www.kaspersky.com\/blog\/apple-immune-no-more\/\" target=\"_blank\" rel=\"noopener nofollow\">Apple<\/a>.<\/p>\n<div class=\"pullquote\">Die Sicherheitsl\u00fccke wurde Ende Dezember entdeckt und gleich im Januar geschlossen \u2013 f\u00fcr Sicherheitsupdates ist das sehr respektabel.<\/div>\n<p>Ohne das Update besteht das Risiko, dass Ihre privaten und vertraulichen Daten ohne Ihr Wissen abgegriffen werden k\u00f6nnen, inklusive Ihrem vollen Namen, Ihrer Adresse, der Ger\u00e4tenummer Ihres Mobiltelefons, sowie verschiedener Ortungsdaten. Dies wird in einem Threatpost-Artikel von Chris Brook berichtet. Die App des Kaffeegiganten speicherte all das als Teil einer Software zum Verhindern von Abst\u00fcrzen in einer Log-Datei als nicht-<a href=\"https:\/\/www.kaspersky.com\/blog\/whos-using-encryption-whos-not\/\" target=\"_blank\" rel=\"noopener nofollow\">verschl\u00fcsselten<\/a> Klartext. Diese Software wurde von der Bostoner Firma Crashlytics entwickelt.<\/p>\n<p>Daniel Wood, der Forscher, der den Fehler gefunden hat und Mitglied des Open Web Application Security Project (OWASP) ist, f\u00fchrte die Sicherheitsl\u00fccke auf das Versagen von Starbucks beim Befolgen \u00fcblicher Vorgehensweisen bei der App-Sicherheit zur\u00fcck. Wood sagte dazu, Starbucks sollte die Daten vor dem Weitergeben filtern und s\u00e4ubern, \u201eum zu verhindern, dass diese Daten in den Log-Dateien von Crashlytics als Klartext gespeichert werden, wenn sie \u00fcberhaupt gespeichert werden m\u00fcssen.\u201c<\/p>\n<p>Crashlytics entwickelt Absturzberichtsl\u00f6sungen f\u00fcr Hersteller mobiler Apps. Starbucks hat anscheinend die Technologie dieser Firma in seiner eigenen App verwendet, aber vielleicht \u2013 zumindest zum Teil \u2013 nicht richtig implementiert. Wayne Chang, Mitgr\u00fcnder von Crashlytics, sagte zu Chris Brook von Threatpost, dass das Problem eine der Klartext-Logging-Funktionen des Service betreffe. Er sagte weiter, dass Crashlytics keine Nutzernamen und Passw\u00f6rter automatisch sammele. Die Funktion CLSLog sei eine \u201eoptionale Funktion, die Entwickler nutzen k\u00f6nnen, um zus\u00e4tzliche Informationen aufzuzeichnen.\u201c<\/p>\n<p>Nur falls es Sie interessiert: Die Starbucks-App gibt Kunden die M\u00f6glichkeit, ihre Starbucks-Karte mit ihrem Smartphone zu verkn\u00fcpfen, ihr Konto per Paypal oder Kreditkarte aufzuf\u00fcllen und weltweit in Starbucks-L\u00e4den mit dem Smartphone <a href=\"https:\/\/www.kaspersky.com\/blog\/the-state-of-mobile-payments-and-the-rise-of-content-driven-commerce\/\" target=\"_blank\" rel=\"noopener nofollow\">mobil zu bezahlen<\/a>.<\/p>\n<p>Also: Wenn Sie die App von Starbucks auf Ihrem iPhone, iPad oder einem anderen iGer\u00e4t nutzen, sollten Sie so schnell wie m\u00f6glich im\u00a0<a href=\"https:\/\/www.kaspersky.com\/blog\/fraudulent-apps-on-apples-app-store\/\" target=\"_blank\" rel=\"noopener nofollow\">App Store<\/a>\u00a0vorbeischauen und das Update herunterladen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In der letzten Woche gab es einige Berichte, dass die iOS-App von Starbucks private Informationen der Anwender weitergeben k\u00f6nnte. Dennoch muss man das Unternehmen loben \u2013 vor allem, wenn man bedenkt, dass es sich hier nicht um eine Technologiefirma handelt. Denn Starbucks hat schnell reagiert und bereits ein Update f\u00fcr die App ver\u00f6ffentlicht.<\/p>\n","protected":false},"author":42,"featured_media":2240,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[699,50,260,846],"class_list":{"0":"post-2239","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-app","9":"tag-ios","10":"tag-sicherheitslucke","11":"tag-starbucks"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/starbucks-handelt-schnell-und-schliest-sicherheitslucke-in-app\/2239\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/app\/","name":"App"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2239","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=2239"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2239\/revisions"}],"predecessor-version":[{"id":22663,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/2239\/revisions\/22663"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/2240"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=2239"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=2239"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=2239"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}