Threema Code kann beliebig oft eingegeben werden (iOS)

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • Hallo zusammen,

    Ich habe vor einiger Zeit in der iOS-App von Threema die optionale Codesperre aktiviert. Nun hatte ich anschließend meinen Code vergessen (aber dank Face ID konnte ich die App weiterhin entsperren), bis nun vor kurzem Face ID an meinem iPhone nicht mehr funktioniert. Da ich ohnehin keine wichtigen Chats hatte und über Threema Web vollen Zugriff auf alles, was ich noch hätte sichern wollen, hatte, habe ich mich entschlossen den Code zurückzusetzen, damit ich auch die App wieder nutzen kann, auch wenn ich dafür möglicherweise meine Chats verliere.

    Nun habe ich ein paar Mal den falschen Code eingegeben (allerdings weniger als 10 Mal) und anschließend die App erneut installiert - ich dachte mir, dass der Code dann auch deaktiviert sein müsste; und sonst würde ich halt ihn auf den "normalen Weg" (d.h. Code 10 mal falsch eingeben und dann auf "Daten löschen" tippen) beschreiten. Und dann das Wunder: Nachdem ich mich erneut mit Threema Safe angemeldet hatte, war die Code Sperre zwar immer noch da - aber der "Zähler" wieder auf null Fehlversuche zurückgesetzt. Das hat mich sehr überrascht, weil das bedeutet, dass ich prinzipiell beliebige viele Chancen hätte, den Code durchzuprobieren. Aber es kam noch besser: Ich tippte einige Male einen falschen Code ein, und zu meiner Überraschung gab es keinen Grenzwert mehr. Ich bin jetzt gerade bei 69 Fehlversuchen und kann immer noch weiter einen neuen Code probieren (bei 10^4 = 10000 Möglichkeiten wäre es durchaus denkbar an einem ruhigen Nachmittag alle Möglichkeiten durchzugehen).

    Nun meine eigentliche Frage: Ist das so gedacht? Vielleicht ist das kein Bug und gehört so, aber leider hatte ich bis jetzt im Internet nichts darüber gefunden, und mir kommt es absurd unsicher vor, dem Nutzer beliebig viele Fehlversuche zu geben. Damit ist die Codesperre nämlich schlicht und ergreifend sehr, sehr unsicher. Ich vermute Mal, dass erst das erneute Herunterladen der App diesen Bug bewirkt hat (oder der Fakt dass ich die ganze Zeit in Threema Web angemeldet war?). Jedenfalls wollte ich hier nachfragen, ob andere ähnliches erlebt haben oder den Code nur maximal 10 Mal falsch eingeben konnten.

    Ich möchte darauf hinweisen, dass ich mich nicht allzu gut mit Threema auskenne, das heißt falls ich hier etwas übersehen habe oder eh alles so ist wie es von Threema gedacht ist, dann freue ich mich auch gerne über Hinweise. Mir kommt das nur etwas komisch vor...

    Ich habe ein Bild als Beleg angehängt.

    Informationen über die benutzte Software:

    iOS 13.4.1

    Threema iOS-App 4.5.3 (neuste Version)

    Threema Wep: 2.3.7

  • Hallo,

    damit habe ich zwar noch keine Erfahrung gemacht, könnte mir aber vorstellen, dass es an der Neuinstallation mit Daten holen über Threema Safe zu tun haben könnte.

    Zumindest dafür musst du ja deine ID und dein Kennwort wissen.

    Der Rest hört sich aber sehr spannend und sicher nicht so gewollt an. Vielleicht kommt noch jemand anderes mit Infos um die Ecke...

  • Die Frage ist, wurde in den Einstellungen der Haken gesetzt, nach 10 Fehlversuchen die Daten zu löschen?

    Edit: gerade unter iOS 12.4.5 mit aktueller Beta 4.6 Build 2547 getestet:

    - Settings > Passcode Lock > Turn Passcode On

    6 stellige PIN gesetzt, Require Passcode auf immediately gesetzt und Erase Data (nach 10 Versuchen) aktiviert.

    Ich habe 6 falsche Eingaben getätigt, die App deinstalliert und erneut installiert. Backup aus dem Threema Safe wiederhergestellt und direkt war die Aufforderung zur PIN Eingabe da. Nach weiteren 4 Eingaben wurden die Daten gelöscht (Popup erschien). Die App startete wie frisch installiert und das Backup aus dem Threema Safe konnte ich wiederherstellen. Die Chatnachrichten waren (natürlich) weg. Zuvor habe ich sie kurzzeitig in der Übersicht sehen können, nach den 10 Fehlversuchen wurden die Daten wirklich gelöscht.

    Ich kann das Verhalten nicht nachstellen.

    Einmal editiert, zuletzt von jnL (19. Mai 2020 um 20:32)