News vom 08.11.2017

Viele iOS-Apps mit unsicherer Datenübertragung

Ein Artikel von , veröffentlicht am 08.11.2017

Apples Betriebssystem iOS gilt als sicher, zumindest im Vergleich mit Android. Doch bei den Apps für iOS sieht es nicht so gut aus: Bei vielen populären Apps für iPhone und iPad hat ein IT-Experte jetzt Sicherheitslücken gefunden, über die sich zum Beispiel Login-Daten auslesen lassen.

In 111 der 200 meist genutzten, kostenlosen Apps für iPhones und iPads hat der Hamburger Sicherheitsforscher Thomas Jansen laut einem Bericht von Zeit online eine Sicherheitslücke entdeckt. Über diese können mittels sogenannter Man-in-the-Middle-Attacken sensible Nutzerdaten wie Passwörter ausgespäht werden.

Jansen, der zuvor selbst einige Jahre bei Apple gearbeitet hatte, fand zum einen Apps, die übertragene Daten gar nicht verschlüsseln. Zum anderen fand er solche, die Daten zwar über verschlüsselte Verbindungen verschicken, diese aber nur unzureichend vor Manipulationen schützen.

Dieser Schutz vor Manipulationen funktioniert mithilfe sogenannter Zertifikate. Jansen entdeckte, dass viele Apps auch ein gefälschtes Zertifikat akzeptieren, ohne den vorgesehenen Prüfprozess durchzuführen. So können Datenströme von einem Angreifer wieder entschlüsselt werden.

Eine Liste der problematischen Apps veröffentlicht der Sicherheitsberater nicht. Als Beispiel nennt Jansen nur die Mode-Shopping-App Shein (vor der die Verbraucherzentrale Niedersachsen allerdings im April 2017 aus ganz anderen Gründen warnte.) In einem Modellangriff zeigte Jansen, wie sich dort Nutzername und Passwort auslesen lassen. Mit diesen Informationen wär es beispielsweise möglich, in Namen des jeweiligen Nutzers einzukaufen.

Attacken über ungesicherte WLAN-Verbindungen

Für die eine Attacke mittels gefälschtem Zertifikat müssen die Angreifer Zugriff auf das Netz haben, in dem sich das jeweilige iPhone oder iPad befindet, beispielsweise indem sie im gleichen öffentlichen WLAN-Hotspot eingeloggt sind.

Eine besondere Relevanz bekommt die Lücke dadurch, dass sowohl öffentliche als auch heimische WLAN-Netzwerke zurzeit als unsicher gelten. Denn die ansonsten als sicher geltende WPA2-Verschlüsselung weist eine Schwäche auf, die noch nicht flächendeckend behoben ist. Denkbar wäre auch, dass Arbeitgeber über ihr Firmennetzwerk Nutzerdaten von Angestellten abgreifen.

Im Fokus der Untersuchung von Jansen standen ausschließlich iOS-Apps. Offen ist, inwiefern auch Android-Anwendungen ähnliche Schwächen aufweisen.

Die Lösung ist da - eigentlich

Laut Jansen wäre die Gefahr vermeidbar, wenn Apple konsequenter auf die Umsetzung von Sicherheitsmaßnahmen achten würde. Seit 2015 gibt es mit ATS (App Transport Security) einen Standard für sichere, verschlüsselte App-Kommunikation. Ursprünglich hatte der IT-Konzern mit einer Frist für den 01. Januar 2017 alle Anbieter von iOS-Apps dazu aufgefordert, diesen Standard zu übernehmen. Ende 2016 hat Apple den Termin auf unbestimmte Zeit verschoben, da App-Anbieter mit der Umsetzung anscheinend nicht hinterherkommen.

Aktuell ist es noch möglich, den ATS-Standard zu ignorieren. Viele App-Entwickler tun das auch und gefährden somit die Sicherheit ihrer Nutzer. Grund dafür ist der Zwang zur Geschwindigkeit in der App-Welt, vermutet Jansen:

„Der Wunsch, die frisch entwickelte App so schnell wie möglich in den App Store zu bringen, verleitet viele Entwickler anscheinend dazu, 'Abkürzungen' zu nehmen und am falschen Ende zu sparen. Und während am Anfang gehofft wird, dass man noch zu klein und daher nicht im Fokus eines Angreifers ist, so wird später damit argumentiert, dass es bisher ja auch immer gut gegangen ist.“

Was tun?

Über einen VPN-Dienst können Sie Ihren Datenverkehr zusätzlich absichern. Dabei werden Daten nicht mehr direkt zum Anbieter der App geschickt, sondern über einen zwischengeschalteten Virtual Private Network-Anbieter.

Und um sich vor Auswirkungen der WLAN-Sicherheitslücke "Krack" zu schützen, empfiehlt es sich, Updates für Endgeräte und auch für den heimischen Router einzuspielen, sobald diese verfügbar sind.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

App-Test 

TripAdvisor im Test: Saubere App, schmutzige Partner

TripAdvisor ist eine Such- und Bewertungsplattform für Hotels, Restaurants und Flüge. Sie lässt sich per Webseite oder per App nutzen. Unser Test auf Android zeigt: TripAdvisor bindet Drittunternehmen ein, die Nutzer hemmungslos tracken und analysieren.

Mehr
Ratgeber 

Clickjacking: Der Trick mit dem überdeckten Bildschirm (Android)

Sicherheitsexperten warnen vor dieser Weiterentwicklung des Phishing-Angriffs: Die Schadsoftware legt dabei ein eigenes Fenster über die Anzeige einer legitimen App und greift damit Login-Daten ab. Auch Banking-Apps sind betroffen. Wir erklären, wie es funktioniert und wie Sie sich schützen können.

Mehr
Kinder und Jugendliche 

Der „Kindermodus“ von Samsung

Samsung hat in Sachen Kindersicherung seine ganz eigene Lösung entwickelt: die App „Kindermodus“, erhältlich in Samsungs eigenem App-Store. Die App ist durchaus gut durchdacht, hat aber auch Kritikpunkte: So sind Apps von Spielzeugherstellern darin vorinstalliert und Produkte von Konkurrent Google können nicht freigeschaltet werden.

Mehr
App-Test 

App-Test: Clash of Clans (Android)

„Clash of Clans“ ist eine kostenlose App für Strategie-Fans. In einer Fantasy-Welt muss der Spieler seine Basis kontinuierlich ausbauen und vor Angriffen schützen. Mögliche Spielspaß-Bremsen: Die Übermittlung sensibler Informationen und teure In-App-Käufe.

Mehr