WordPress: iOS-App hatte Sicherheitslücke

Zahlreiche Nutzer, die ein WordPress.com-Konto haben sowie die iOS-App für WordPress einsetzen, bekommen derzeit E-Mail. Man habe ein Problem mit der WordPress iOS-Anwendung entdeckt, bei dem es um den Umgang mit Sicherheits-Anmeldeinformationen geht. Man habe keine verdächtigen oder bösartigen Aktivitäten feststellen können, aber die Macher haben die App vorsorglich von den betroffenen Konten getrennt.

Offensichtlich hätten Dritt-Anbieter die Zugangstoken einsehen und nutzen können, dies sei aber nur der Fall bei privaten Seiten mit extern gehosteten Bildern – wie Flickr. Nutzernamen oder Passwörter seien aber nicht kompromittiert worden:

Das potenzielle Risiko bestand in Sicherheitstoken, die die App zur Kommunikation/Authentifizierung mit WordPress.com verwendet. (Es wurden hier keine Benutzernamen oder Passwörter kompromittiert.) Wir haben Ihr Konto von Ihrer App getrennt, um die vorhandenen Token zu entfernen und so einen möglichen Missbrauch dieser zu verhindern, bis Sie auf die neue, sicherere Version der App aktualisieren.

Selbst gehostete Seiten sollen also nicht betroffen sein und auch nicht Nutzer, die die Android-App von WordPress einsetzen. iOS-Nutzer mit privaten Seiten: Schauen, dass das aktuelle Update drauf ist und neu einloggen – fertig.

https://itunes.apple.com/de/app/wordpress/id335703880?mt=8