iOS: Sicherheitsproblem mit OTP seeds

Galaga · 8. Oktober 2023 um 10:53

Folgendes Szenario:
iOS 17.0.3; jedes iCloud Sync explizit ausgeschaltet
Nutzung der App FreeOTP. Dort einen Seed hinterlegt und OTP läuft damit.
App wird manuell vom Nutzer gelöscht, das iOS warnt dafür, dass beim Löschen der App alle Daten gelöscht werden. OK.
Handy ausschalten, neu starten.
FreeOTP „neu“ installieren.
Voila: Ohne weiteres Zutun des Nutzers sind alle OTP-seeds wieder voll funktionsfähig da.

Also: Entweder werden die höchstsensiblen App Daten irgendwo lokal abgelegt, wo sie unsichtbar gespeichert bleiben auch nach Löschen der App.
Oder die Schlüsseldaten werden in irgendeine Cloud hocgeladen und dann weider runtergeladen.
Beides: GAU.

Reklow · 22. Oktober 2023 um 20:22

in iOS gibt es zwei verschiedene Speicherbereiche die Apps nutzen können:

(1) das Datenverzeichnis der App-Installation
(2) die Keychain

Bei Letzterer ist es möglich Daten zwischen Apps desselben App-Entwicklers übergreifend zu teilen und diese können daher auch im System gespeichert bleiben, auch wenn die einstellende App gelöscht wird. Microsoft macht dieses zum Beispiel in der Skype for Business App - dort kann man aber leider nicht einmal gespeicherte Daten über die App wieder löschen.

Eventuell hat der FreeOTP Entwickler RedHat die betreffenden Daten in dieser Form in der Keychain abgelegt. Das RedHat die Daten auch ohne aktive Cloud-Server-Konfiguration irgendwo hin synchronisiert kann ich mir ehrlich gesagt nicht vorstellen.

Aus meiner Sicht handelt es sich jedoch nicht um ein Sicherheitsproblem von iOS, sondern um eine bewusste / unbewusste Programmierung des FreeOTP Entwicklers RedHat. Ich würde dieses einmal zu dem Umstand kontaktieren.

Galaga · 12. November 2023 um 14:10

Danke für den Hinweis auf das Thema „Keychain“.
Dazu auch das hier: https://code.whatever.social/exchange/apple/questions/441112/how-can-i-remove-keychain-data-from-ios
Ganz offensichtlich ist bis inkl. iOS 17 diese Keychain ein Datenspeicher in den iphones, der dauerhaft Daten speichert, auch nach dem Löschen von zugehörigen Apps.

Eine Benutzermöglichkeit, sich den Inhalt der Keychain zentral anzuschauen gibt es ja nicht, daher auch schon gar keine Option, die Inhalte zu löschen.

Das macht die Keychain letztlich zu einer Art trojanischem Pferd für Daten.
Irgendwelche Apps können da Dinge hinspeichern, ohne dass der Gerätebesitzer sie bedingungslos löschen oder begutachten kann.

In FreeOTP selbst kann ich zwar die Daten per Hand und einzeln löschen (so scheint es), aber dazu muss die App eben gerade installiert sein und man muss es glauben. Böswillige Apps könnten derlei einfach behaupten.