Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
News vom 08.11.2017

Viele iOS-Apps mit unsicherer Datenübertragung

Ein Artikel von , veröffentlicht am 08.11.2017

Apples Betriebssystem iOS gilt als sicher, zumindest im Vergleich mit Android. Doch bei den Apps für iOS sieht es nicht so gut aus: Bei vielen populären Apps für iPhone und iPad hat ein IT-Experte jetzt Sicherheitslücken gefunden, über die sich zum Beispiel Login-Daten auslesen lassen.

In 111 der 200 meist genutzten, kostenlosen Apps für iPhones und iPads hat der Hamburger Sicherheitsforscher Thomas Jansen laut einem Bericht von Zeit online eine Sicherheitslücke entdeckt. Über diese können mittels sogenannter Man-in-the-Middle-Attacken sensible Nutzerdaten wie Passwörter ausgespäht werden.

Jansen, der zuvor selbst einige Jahre bei Apple gearbeitet hatte, fand zum einen Apps, die übertragene Daten gar nicht verschlüsseln. Zum anderen fand er solche, die Daten zwar über verschlüsselte Verbindungen verschicken, diese aber nur unzureichend vor Manipulationen schützen.

Dieser Schutz vor Manipulationen funktioniert mithilfe sogenannter Zertifikate. Jansen entdeckte, dass viele Apps auch ein gefälschtes Zertifikat akzeptieren, ohne den vorgesehenen Prüfprozess durchzuführen. So können Datenströme von einem Angreifer wieder entschlüsselt werden.

Eine Liste der problematischen Apps veröffentlicht der Sicherheitsberater nicht. Als Beispiel nennt Jansen nur die Mode-Shopping-App Shein (vor der die Verbraucherzentrale Niedersachsen allerdings im April 2017 aus ganz anderen Gründen warnte.) In einem Modellangriff zeigte Jansen, wie sich dort Nutzername und Passwort auslesen lassen. Mit diesen Informationen wär es beispielsweise möglich, in Namen des jeweiligen Nutzers einzukaufen.

Attacken über ungesicherte WLAN-Verbindungen

Für die eine Attacke mittels gefälschtem Zertifikat müssen die Angreifer Zugriff auf das Netz haben, in dem sich das jeweilige iPhone oder iPad befindet, beispielsweise indem sie im gleichen öffentlichen WLAN-Hotspot eingeloggt sind.

Eine besondere Relevanz bekommt die Lücke dadurch, dass sowohl öffentliche als auch heimische WLAN-Netzwerke zurzeit als unsicher gelten. Denn die ansonsten als sicher geltende WPA2-Verschlüsselung weist eine Schwäche auf, die noch nicht flächendeckend behoben ist. Denkbar wäre auch, dass Arbeitgeber über ihr Firmennetzwerk Nutzerdaten von Angestellten abgreifen.

Im Fokus der Untersuchung von Jansen standen ausschließlich iOS-Apps. Offen ist, inwiefern auch Android-Anwendungen ähnliche Schwächen aufweisen.

Die Lösung ist da - eigentlich

Laut Jansen wäre die Gefahr vermeidbar, wenn Apple konsequenter auf die Umsetzung von Sicherheitsmaßnahmen achten würde. Seit 2015 gibt es mit ATS (App Transport Security) einen Standard für sichere, verschlüsselte App-Kommunikation. Ursprünglich hatte der IT-Konzern mit einer Frist für den 01. Januar 2017 alle Anbieter von iOS-Apps dazu aufgefordert, diesen Standard zu übernehmen. Ende 2016 hat Apple den Termin auf unbestimmte Zeit verschoben, da App-Anbieter mit der Umsetzung anscheinend nicht hinterherkommen.

Aktuell ist es noch möglich, den ATS-Standard zu ignorieren. Viele App-Entwickler tun das auch und gefährden somit die Sicherheit ihrer Nutzer. Grund dafür ist der Zwang zur Geschwindigkeit in der App-Welt, vermutet Jansen:

„Der Wunsch, die frisch entwickelte App so schnell wie möglich in den App Store zu bringen, verleitet viele Entwickler anscheinend dazu, 'Abkürzungen' zu nehmen und am falschen Ende zu sparen. Und während am Anfang gehofft wird, dass man noch zu klein und daher nicht im Fokus eines Angreifers ist, so wird später damit argumentiert, dass es bisher ja auch immer gut gegangen ist.“

Was tun?

Über einen VPN-Dienst können Sie Ihren Datenverkehr zusätzlich absichern. Dabei werden Daten nicht mehr direkt zum Anbieter der App geschickt, sondern über einen zwischengeschalteten Virtual Private Network-Anbieter.

Und um sich vor Auswirkungen der WLAN-Sicherheitslücke "Krack" zu schützen, empfiehlt es sich, Updates für Endgeräte und auch für den heimischen Router einzuspielen, sobald diese verfügbar sind.

Weitere Artikel

YouTube-Video 

iOS-Datenschutz: Wie ehrlich sind App-Anbieter?

Im iOS-Store müssen App-Anbieter seit einem halben Jahr eintragen, welche Daten ihre Apps verarbeiten. Aber wie gut funktioniert die neue Funktion „App-Datenschutz“ auf dem iPhone? Wir haben uns das Feature genau angeschaut und bei 25 Apps die Angaben für Sie gegengecheckt.

Ansehen
YouTube-Video 

E-Mails auf dem Handy: Diese Apps sind sicher (Android)

Mail-Apps helfen, E-Mails auf dem Handy zu verwalten. Doch nicht alle Android-Apps sind sicher - manche lesen sogar Passwörter und E-Mail-Inhalte aus. Welche Apps falsche Freunde sind und welchen Sie vertrauen können, erfahren Sie im Video.

Ansehen
Ratgeber 

Stalkerware: Schutz vor Überwachung ist möglich

Hersteller von Spionage-Apps werben damit, wie leicht sich mit ihren Produkten fremde Smartphones überwachen lassen. Diese Programme kommen mitunter als Werkzeug für digitales Stalking zum Einsatz. Die gute Nachricht: Sie lassen sich enttarnen.

Mehr
Ratgeber 

Das Fediverse – die bessere Social-Media-Welt?

Das Fediverse ist ein Netzwerk aus Plattformen, die wie bekannte Social-Media-Dienste funktionieren - aber allen gehören. Bekannte Vertreter sind die YouTube-Alternative PeerTube und die Twitter-Alternative Mastodon.

Mehr