Schweres Sicherheitsproblem beim Login mit Biometrie

Hi,

ich hab ein schwerwiegendes Sicherheitsproblem in Zusammenhang mit FaceID festgestellt, welches so schon mindestens seit Corona besteht und das man mit einem Mundschutz sehr gut nachvollziehen kann… Aber sehr selbst:

Der Ordner ist leer …

Lädt wahrscheinlich noch hoch…

EDIT: Upload abgeschlossen.

Sehr interessant.
Ich habe etwas ähnliches letztens unter Android festgestellt. Kann es nicht mehr genau rekonstruieren, da es da Serverprobleme gab. Aber definitiv war dort ein Login in die App möglich, obwohl der gescannte Fingerabdruck falsch war und ich KEIN Passwort eingegeben habe.
Ich habe deshalb den Titel auch angepasst.

1 Like

Okay. Man muss dazu sagen, dass die eingegebene PIN sowie das Passwort schon richtig waren. Ich geh davon aus, dass PIN und Passwort zumindest richtig sein m√ľssen, da diese ja letztendlich an FaceID weitergegeben werden und erst danach der endg√ľltige Login erfolgt, mit einer fehlerhaften PIN bzw. einem fehlerhaften Passwort getestet hab ich es allerdings nicht. Feel free to test it by yourself! :wink:

Zu später Stunde noch einmal: im ersten Moment sieht das alles fine aus. Mit Passwort und Pin ist das alles sicher genug. Was die Biometrie angeht, checken wir das noch mal. Das ist aktuell schwierig aufgrund der Schwierigkeiten mit der App.

1 Like

Hey @ColaMarkus,
kannst du das nochmal genau beschreiben, wie du vorgegangen bist? Bei zuk√ľnftigen Security Issues w√ľrden wir uns sehr freuen, wenn du uns vertraulich dar√ľber informieren k√∂nntest. Dann haben wir die M√∂glichkeit, L√ľcken zu beheben, bevor jeder sie ausnutzen kann.
Liebe Gr√ľ√üe!

3 Like

Okay. Klar. :slightly_smiling_face:

Ich hab eigentlich nur folgendes gemacht:

  • Maske aufsetzen (oder Hand vor den Mund halten; Hauptsache, FaceID erkennt das Gesicht nicht)
  • FaceID wiederholen anklicken
  • Passwort verwenden anklicken
  • richtiges Passwort eingeben und auf Login klicken
  • PIN-Abfrage mit der PIN f√ľrs eigene Ger√§t best√§tigen
  • FaceID wiederholen anklicken
  • Passwort verwenden anklicken

Und schon ist man eingeloggt. :wink:

Da Tomorrow glaube ich nur Apples Authentifizierungs API nutzt kann ich mir aber auch vorstellen dass dies eher ein Problem der iOS Beta ist die du nutzt.

Vielleicht kann Tomorrow was dazu sagen.

2 Like

Ich habe keine iOS Beta nur die Tomorrow Beta und es verhält sich bei mir genauso.

2 Like

Nein, da es √ľberall sonst funktioniert. Ich hab es sogar heute noch mal mit N26 getestet und da funktioniert es wie gesagt‚Ķ

Danke f√ľr das reporten @ColaMarkus. Tats√§chlich √ľberarbeiten wir unsere Passwort-Regeln noch einmal. Ich sch√§tze mal abschlie√üend, dass man das nicht als schweres Sicherheitsproblem einstufen kann, da ja weiterhin Passwort und Pin angegeben werden m√ľssen, die niemand haben sollte. Dennoch m√ľssen wir da Nacharbeit bei der Biometrie leisten. Am besten wie Tilman beschrieben hat beim n√§chsten Mal erst mal in einer privaten Nachricht teilen. Man wei√ü ja nie, wie ernst die Sache ist.

2 Like

Kurzes Update: Bisher war es immer ein wenig nervig, sich in die Tomorrow-App mit Maske und Face ID einzuloggen. Daher haben wir daran ein wenig get√ľftelt und vereinfacht ‚ÄĒ man kann sich jetzt auch statt Face ID mit dem Tomorrow-Passwort einloggen, ohne gef√ľhlt zehn mal Face ID abzubrechen und den iPhone-Passcode einzugeben.

Wichtig: Um den neuen Flow zu testen m√ľsst ihr

  1. Unsere Special-Beta (nicht die normale Beta) installieren: https://testflight.apple.com/join/qchpCoF2
  2. Einmal in den Kontoeinstellungen ausloggen und wieder erneut einloggen (inklusive Device Binding)

Falls ihr Feedback dazu habt, oder Probleme auftauchen, gebt gerne Bescheid!
Vielen lieben Dank!

1 Like