« Nachlese: Großes Danke, kleines 11,6" MacBook Air | Start | iLife ’11 verharrt auf 32 Bit [Update] »

21.10.2010

FaceTime auf dem Mac: Lokale Nummern und eine Schwachstelle [Update_2]

Zwei knappe Anmerkungen zu FaceTime auf dem Mac:
facetime_region.png
Beim Aufrufen der Ortseinstellungen in der Mac-Version von FaceTime erscheint dieser freundliche Hinweis auf die Möglichkeit, "lokale Nummern" aus dem Adressbuch anzurufen. Dies muss derzeit natürlich längst nicht mehr bedeuten, als das FaceTime die jeweilige Ländervorwahl automatisch für die zu einem iPhone 4 gehörende Mobilnummer ergänzt, aber lässt zugleich Raum für zarte Spekulationen über einen weiteren Ausbau von FaceTimes VoIP-Fähigkeiten.
accounteinstellungen.png
Ein kleiner Warnhinweis: FaceTime erlaubt einen unmittelbaren Zugriff (ohne zusätzliche Passwortabfrage) auf die eigenen Accountdaten. Dort können sowohl die Sicherheitsfrage wie das Geburtsdatum im Klartext ausgelesen werden - kombiniert erlauben diese Informationen das Zurücksetzen der Apple ID und damit einen potentiellen Weg zur Übernahme dieses Accounts (der oft auch hinterlegte Kreditkartendaten und einen weiteren Berg an persönlichen Daten enthält). Voraussetzung ist hierbei natürlich die direkte Zugriffsmöglichkeit auf den jeweiligen Mac, auf dem FaceTime installiert ist - wer seinen Mac aber ungeschützt in einem öffentlichen Kontext nutzt, sollte sich stets aus FaceTime manuell abmelden bis dies behoben wurde. (via @Gernot)

Update 11:55 Uhr
Das manuelle Abmelden hilft nicht, da der eigene Benutzername und das Passwort in FaceTime hinterlegt bleiben - ein Klick auf Login und der Vollzugriff auf den Account ist weider möglich.

Davon unabhängig: Wer nicht über seine E-Mail-Adresse angerufen werden möchte, muss FaceTime in den Einstellungen deaktivieren, schließlich ist man auf diesem Weg auch zu erreichen, wenn die Anwendung FaceTime lediglich beendet worden ist.

Update_2 10:30 Uhr
Apple unterbindet den bislang unmittelbar möglichen Zugriff auf die Accountdaten über FaceTime inzwischen offenbar serverseitig (und zuverlässig).

Posted by Leo at 11:12 | Permalink