Twitter for Android: Passwort kann einfach ausgelesen werden

04.07.2010 | 13 Kommentare | Jeffrey

Ich wollte heute ein­mal tes­ten, ob die auf mei­nem HTC Desire instal­lier­ten Appli­ka­tio­nen (Face­book, Twit­ter, Ever­note, …) eini­ger­mas­sen ver­nünf­tig mit dem Inter­net umge­hen und Login Daten mit HTTPS gesi­chert ver­sen­den, was in öffent­li­chen WLANs sehr wich­tig ist.

Dabei musste ich mit Erschre­cken fest­stel­len, dass Twit­ter for Android die Login-Daten zum Twit­ter Account Plain­text über HTTP an den Twitter-Server sendet!

Zum Tes­ten habe ich das Tool Cain & Abel ver­wen­det. Nicht zu ver­ges­sen: Das Tool ist in eini­gen Län­dern ver­bo­ten, darum habe ich es nicht ver­linkt. Ich benutze es jedoch sehr gerne zum Tes­ten des eige­nen Netz­wer­kes.

Twitter_Android_Cain

Ich muss zuge­ben ich hätte so etwas nicht von der Twitter-Applikation erwar­tet, da es auf jeden Fall keine Kunst für die wäre HTTPS anstatt HTTP zu nut­zen und das Pass­wort nicht im Klar­text zu senden.

In mei­nen Tweet habe ich Twitter_de auf­ge­nom­men, mal schauen, ob etwas zurück kommt.

Twitter_Sec_Tweet

Dies ist ein wei­te­rer Grund für mich nun end­lich nach einer ver­nünf­ti­gen VPN-Lösung zu suchen, wie es auch Knut vor­ge­stellt hat, da ich mich recht oft in öffent­li­chen WLANs aufhalte.

Aber auch im All­ge­mei­nen: Es kann ja nicht sein, dass Pass­wör­ter im Klar­text durch das Inter­net schwirren.

Wie seht ihr das? Benutzt ihr even­tu­ell VPN? Wuss­tet ihr das mit der Twit­ter for Android App?

Ähnliche Artikel

Warum man einem Blogger auf Twitter folgen sollte
Was macht einen guten Twitter Client aus?
Twicca: Sicherer Twitter Client für Android
Testen ob ein User einem anderen User auf Twitter folgt
Twitter in Deutsch

13 Kommentare

  1. Nils (04/07/2010) Antworten

    Zu der Android Sache kann ich wenig sagen, da ich das Sys­tem nicht nutze. VPN setze ich grad nicht ein, da meine Anbin­dung lei­der viel zu schlecht ist, um irgend­ei­nen gro­ßen Nut­zen dar­aus zie­hen zu kön­nen. Sehr ein­fach und kos­ten­güns­tig geht das natür­lich mit einem ent­spre­chen­den Rou­ter:
    http://blog.tim-bormann.de/ipad-iphone-vpn-router.html

  2. nodch (04/07/2010) Antworten

    Lei­der ist es nicht nur die Twit­ter App von Twit­ter selbst, son­dern viele wei­tere, die dar­auf ver­zich­ten ver­schlüs­selt zu kom­mu­ni­zie­ren. Was in die­ser Hin­sicht in den Köp­fen der Ent­wick­ler vor­geht mag ich gar nicht wis­sen, denn auf der ande­ren Seite wird sich immer dar­über auf­ge­regt wenn Benut­zer­da­ten abhan­den kom­men, bei sol­chen grund­le­gen­den Gedan­ken­feh­lern auch kein Wunder.

  3. Jeffrey (04/07/2010) Antworten

    @Nils:

    Den Bei­trag von Tim habe ich auch noch auf mei­ner ToDo Liste, bin mir das mit nem VPN-Router gerade auch am durchdenken.

    Die Frage ist, ob ich mit mei­nen 100 KB/s Upload dann unter­wegs noch eini­ger­mas­sen schnell sur­fen kann.

    @nodch:

    Das stimmt natür­lich, ist noch lange nicht bei allen Apps so, dass die Daten ver­schlüs­selt gesen­det werden.

    Bei so einem gros­sen Dienst wie Twit­ter kann man das dann aber schon erwar­ten, finde ich zumindest.

  4. nodch (04/07/2010) Antworten

    Ja, man muss es quasi erwar­ten kön­nen. Warum an die­sen Stel­len geschla­fen wird ist mir auch nicht klar, zumal nun wirk­lich genug Zeit gewe­sen ist sich die Kon­kur­renz anzu­schauen und die Vor­teile «abzuschauen».

  5. Nils (04/07/2010) Antworten

    @Jeffrey: 100KB/s wären übri­gens noch immer mehr als das Dop­pelte mei­nes maxi­ma­len Down­loads hier zu Hause ;)

  6. Jeffrey (04/07/2010) Antworten

    @nodch:

    Da hast du recht, man muss es erwar­ten kön­nen. Naja, kann man (lei­der) nicht viel machen aus­ser warten :(

    @Nils:

    Stimmt, ich habe dei­nen Kom­men­tar bei Tim gelesen.

    Das Sur­fen im Inter­net macht mit dem Speed bestimmt nicht wirk­lich Spass. Das Hoch­la­den von Bil­dern und Dateien z.B. für die Drop­box spre­chen wir erst gar nicht an :)

  7. Mirco (05/07/2010) Antworten

    Hi,

    ich habe es grade mit der iPhone App getes­tet dort wird es nicht in Plain­text über­tra­gen. Auch die neue Mes­sen­ger App von Micr­soft über­trätgt ver­schlüs­selt. Ist dir das Pro­blem auch bei ande­ren Android aufgefallen?

  8. Jeffrey (05/07/2010) Antworten

    @Mirrco:

    Bei ande­ren Android Apps ist mir das aktu­ell noch nicht auf­ge­fal­len aber ich muss mir das in den nächs­ten Wochen mal genauer anschauen :)

  9. Martin (30/08/2010) Antworten

    Hallo!

    Ich habe seit Sams­tag end­lich ein Android Handy (Galaxy von Samsung) und hab mich so gut es geht mit der neuen Mate­rie beschäf­tigt. Einen Twit­ter Cli­ent wollte ich natür­lich auch haben. Also im Mar­ket gesucht — siehe da: es gibt ja sogar «das Ori­gi­nal»! Also mutig auf «Instal­lie­ren» gegan­gen, aber was ist das? Neben «Ihr Stand­ort» (ok), «Netz­werk­kom­mu­ni­ka­tion» (ok) will die App auch Zugriff auf «Per­sön­li­che Infor­ma­tio­nen — Kon­takt­da­ten lesen und schrei­bem» sowie «Ihre Kon­ten — Als Kon­ten­au­then­ti­fi­zie­rer fun­gie­ren.…» . Sollte man da miß­trau­isch sein? Wofür brau­chen die das alles? Und dann lese ich hier, daß das Paß­wort plain über­tra­gen wird…

    Jetzt schaue ich mir mal Twicca an.

  10. Jeffrey (30/08/2010) Antworten

    @Martin:

    Gute Frage für was die ande­ren bei­den Berech­ti­gun­gen benö­tigt wer­den. Ich kann es dir lei­der nicht sagen.

    Aber nur schon das Plaintext-Passwort ist ein NoGo für mich. Daher nutze ich nun seit eini­ger Zeit aktiv Twicca, funk­tio­niert sehr gut!

  11. Pingback: Blogger-Twitter-Facebook-Internet World

  13. Jeffrey (15/05/2011) Antworten

    Kann ich dir lei­der nicht sagen, ob es mitt­ler­weile geän­dert wor­den ist.

    Musst du sel­ber aus­pro­bie­ren oder in den Chan­ge­logs von der Twitter-App für Android nachschauen.

Hinterlasse einen Kommentar zu Jeffrey Abbrechen

Kommentieren ohne Angabe von Name und E-Mail Adresse möglich. Kommentare werden moderiert. Spam und Offtopic wird gelöscht.