News vom 08.11.2017

Viele iOS-Apps mit unsicherer Datenübertragung

Ein Artikel von , veröffentlicht am 08.11.2017

Apples Betriebssystem iOS gilt als sicher, zumindest im Vergleich mit Android. Doch bei den Apps für iOS sieht es nicht so gut aus: Bei vielen populären Apps für iPhone und iPad hat ein IT-Experte jetzt Sicherheitslücken gefunden, über die sich zum Beispiel Login-Daten auslesen lassen.

In 111 der 200 meist genutzten, kostenlosen Apps für iPhones und iPads hat der Hamburger Sicherheitsforscher Thomas Jansen laut einem Bericht von Zeit online eine Sicherheitslücke entdeckt. Über diese können mittels sogenannter Man-in-the-Middle-Attacken sensible Nutzerdaten wie Passwörter ausgespäht werden.

Jansen, der zuvor selbst einige Jahre bei Apple gearbeitet hatte, fand zum einen Apps, die übertragene Daten gar nicht verschlüsseln. Zum anderen fand er solche, die Daten zwar über verschlüsselte Verbindungen verschicken, diese aber nur unzureichend vor Manipulationen schützen.

Dieser Schutz vor Manipulationen funktioniert mithilfe sogenannter Zertifikate. Jansen entdeckte, dass viele Apps auch ein gefälschtes Zertifikat akzeptieren, ohne den vorgesehenen Prüfprozess durchzuführen. So können Datenströme von einem Angreifer wieder entschlüsselt werden.

Eine Liste der problematischen Apps veröffentlicht der Sicherheitsberater nicht. Als Beispiel nennt Jansen nur die Mode-Shopping-App Shein (vor der die Verbraucherzentrale Niedersachsen allerdings im April 2017 aus ganz anderen Gründen warnte.) In einem Modellangriff zeigte Jansen, wie sich dort Nutzername und Passwort auslesen lassen. Mit diesen Informationen wär es beispielsweise möglich, in Namen des jeweiligen Nutzers einzukaufen.

Attacken über ungesicherte WLAN-Verbindungen

Für die eine Attacke mittels gefälschtem Zertifikat müssen die Angreifer Zugriff auf das Netz haben, in dem sich das jeweilige iPhone oder iPad befindet, beispielsweise indem sie im gleichen öffentlichen WLAN-Hotspot eingeloggt sind.

Eine besondere Relevanz bekommt die Lücke dadurch, dass sowohl öffentliche als auch heimische WLAN-Netzwerke zurzeit als unsicher gelten. Denn die ansonsten als sicher geltende WPA2-Verschlüsselung weist eine Schwäche auf, die noch nicht flächendeckend behoben ist. Denkbar wäre auch, dass Arbeitgeber über ihr Firmennetzwerk Nutzerdaten von Angestellten abgreifen.

Im Fokus der Untersuchung von Jansen standen ausschließlich iOS-Apps. Offen ist, inwiefern auch Android-Anwendungen ähnliche Schwächen aufweisen.

Die Lösung ist da - eigentlich

Laut Jansen wäre die Gefahr vermeidbar, wenn Apple konsequenter auf die Umsetzung von Sicherheitsmaßnahmen achten würde. Seit 2015 gibt es mit ATS (App Transport Security) einen Standard für sichere, verschlüsselte App-Kommunikation. Ursprünglich hatte der IT-Konzern mit einer Frist für den 01. Januar 2017 alle Anbieter von iOS-Apps dazu aufgefordert, diesen Standard zu übernehmen. Ende 2016 hat Apple den Termin auf unbestimmte Zeit verschoben, da App-Anbieter mit der Umsetzung anscheinend nicht hinterherkommen.

Aktuell ist es noch möglich, den ATS-Standard zu ignorieren. Viele App-Entwickler tun das auch und gefährden somit die Sicherheit ihrer Nutzer. Grund dafür ist der Zwang zur Geschwindigkeit in der App-Welt, vermutet Jansen:

„Der Wunsch, die frisch entwickelte App so schnell wie möglich in den App Store zu bringen, verleitet viele Entwickler anscheinend dazu, 'Abkürzungen' zu nehmen und am falschen Ende zu sparen. Und während am Anfang gehofft wird, dass man noch zu klein und daher nicht im Fokus eines Angreifers ist, so wird später damit argumentiert, dass es bisher ja auch immer gut gegangen ist.“

Was tun?

Über einen VPN-Dienst können Sie Ihren Datenverkehr zusätzlich absichern. Dabei werden Daten nicht mehr direkt zum Anbieter der App geschickt, sondern über einen zwischengeschalteten Virtual Private Network-Anbieter.

Und um sich vor Auswirkungen der WLAN-Sicherheitslücke "Krack" zu schützen, empfiehlt es sich, Updates für Endgeräte und auch für den heimischen Router einzuspielen, sobald diese verfügbar sind.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

Hard Reset: iPhone zurücksetzen trotz Sperr-Code

Ihr iPhone oder iPad reagiert auf absolut nichts mehr - oder Sie haben die PIN für den Sperrbildschirm vergessen? Mit Hilfe eines USB-Kabels und eines Computers lässt sich das Gerät in diesem Fall auf die Werkseinstellungen zurücksetzen. Achtung: Ihre Daten werden dabei gelöscht.

Mehr
App-Test 

ForRunners: Laufen mit Privatsphäre

Die App ForRunners zeichnet Laufaktivitäten über GPS auf. Die App wird vom französischen Entwickler Benoît Hervier für die Android-Plattform angeboten. Unser Test zeigt: Es gibt auch Fitness-Apps, die die Privatsphäre eines Nutzers respektieren.

Mehr
Ratgeber 

Welche Apps helfen im Katastrophenfall?

Anschlag in Halle, Waldbrand in Brandenburg, Unwetter in der Adria oder Erdbeben in Indonesien – in vielen Katastrophenfällen kommen mittlerweile Apps zum Einsatz. Welche technischen Helfer sich wann eignen, erfahren Sie hier.

Mehr
YouTube-Video 

Corona-Virus: Welche Apps helfen mit Infos?

Das Corona-Virus ist nonstop in den Nachrichten. Aber gibt es auch eine App, die bei Ablauf und Orga hilft, wenn man das Virus hat (oder den Verdacht)? Wir haben uns für Sie auf die Suche gemacht - bei Android und iOS.

Ansehen