Schweres Sicherheitsproblem beim Login mit Biometrie

Hi,

ich hab ein schwerwiegendes Sicherheitsproblem in Zusammenhang mit FaceID festgestellt, welches so schon mindestens seit Corona besteht und das man mit einem Mundschutz sehr gut nachvollziehen kann… Aber sehr selbst:

Der Ordner ist leer …

Lädt wahrscheinlich noch hoch…

EDIT: Upload abgeschlossen.

Sehr interessant.
Ich habe etwas ähnliches letztens unter Android festgestellt. Kann es nicht mehr genau rekonstruieren, da es da Serverprobleme gab. Aber definitiv war dort ein Login in die App möglich, obwohl der gescannte Fingerabdruck falsch war und ich KEIN Passwort eingegeben habe.
Ich habe deshalb den Titel auch angepasst.

1 „Gefällt mir“

Okay. Man muss dazu sagen, dass die eingegebene PIN sowie das Passwort schon richtig waren. Ich geh davon aus, dass PIN und Passwort zumindest richtig sein müssen, da diese ja letztendlich an FaceID weitergegeben werden und erst danach der endgültige Login erfolgt, mit einer fehlerhaften PIN bzw. einem fehlerhaften Passwort getestet hab ich es allerdings nicht. Feel free to test it by yourself! :wink:

Zu später Stunde noch einmal: im ersten Moment sieht das alles fine aus. Mit Passwort und Pin ist das alles sicher genug. Was die Biometrie angeht, checken wir das noch mal. Das ist aktuell schwierig aufgrund der Schwierigkeiten mit der App.

1 „Gefällt mir“

Hey @ColaMarkus,
kannst du das nochmal genau beschreiben, wie du vorgegangen bist? Bei zukünftigen Security Issues würden wir uns sehr freuen, wenn du uns vertraulich darüber informieren könntest. Dann haben wir die Möglichkeit, Lücken zu beheben, bevor jeder sie ausnutzen kann.
Liebe Grüße!

4 „Gefällt mir“

Okay. Klar. :slightly_smiling_face:

Ich hab eigentlich nur folgendes gemacht:

  • Maske aufsetzen (oder Hand vor den Mund halten; Hauptsache, FaceID erkennt das Gesicht nicht)
  • FaceID wiederholen anklicken
  • Passwort verwenden anklicken
  • richtiges Passwort eingeben und auf Login klicken
  • PIN-Abfrage mit der PIN fürs eigene Gerät bestätigen
  • FaceID wiederholen anklicken
  • Passwort verwenden anklicken

Und schon ist man eingeloggt. :wink:

Da Tomorrow glaube ich nur Apples Authentifizierungs API nutzt kann ich mir aber auch vorstellen dass dies eher ein Problem der iOS Beta ist die du nutzt.

Vielleicht kann Tomorrow was dazu sagen.

3 „Gefällt mir“

Ich habe keine iOS Beta nur die Tomorrow Beta und es verhält sich bei mir genauso.

2 „Gefällt mir“

Nein, da es überall sonst funktioniert. Ich hab es sogar heute noch mal mit N26 getestet und da funktioniert es wie gesagt…

Danke für das reporten @ColaMarkus. Tatsächlich überarbeiten wir unsere Passwort-Regeln noch einmal. Ich schätze mal abschließend, dass man das nicht als schweres Sicherheitsproblem einstufen kann, da ja weiterhin Passwort und Pin angegeben werden müssen, die niemand haben sollte. Dennoch müssen wir da Nacharbeit bei der Biometrie leisten. Am besten wie Tilman beschrieben hat beim nächsten Mal erst mal in einer privaten Nachricht teilen. Man weiß ja nie, wie ernst die Sache ist.

2 „Gefällt mir“

Kurzes Update: Bisher war es immer ein wenig nervig, sich in die Tomorrow-App mit Maske und Face ID einzuloggen. Daher haben wir daran ein wenig getüftelt und vereinfacht — man kann sich jetzt auch statt Face ID mit dem Tomorrow-Passwort einloggen, ohne gefühlt zehn mal Face ID abzubrechen und den iPhone-Passcode einzugeben.

Wichtig: Um den neuen Flow zu testen müsst ihr

  1. Unsere Special-Beta (nicht die normale Beta) installieren: TestFlight - Apple
  2. Einmal in den Kontoeinstellungen ausloggen und wieder erneut einloggen (inklusive Device Binding)

Falls ihr Feedback dazu habt, oder Probleme auftauchen, gebt gerne Bescheid!
Vielen lieben Dank!

4 „Gefällt mir“

Hi,

die neuen Änderungen in Version 2.24.0 Special Beta funktionieren super! Jetzt kommt sofort die PIN-Abfrage, falls das Gesicht via Face ID nicht erkannt werden sollte, was ich für super sinnvoll halte. :slight_smile:

3 „Gefällt mir“

@ColaMarkus Danke für die Rückmeldung. Dann haben unsere Jungs aus dem iOS Team gute Arbeit geleistet.

3 „Gefällt mir“