News vom 08.11.2017

Viele iOS-Apps mit unsicherer Datenübertragung

Ein Artikel von , veröffentlicht am 08.11.2017

Apples Betriebssystem iOS gilt als sicher, zumindest im Vergleich mit Android. Doch bei den Apps für iOS sieht es nicht so gut aus: Bei vielen populären Apps für iPhone und iPad hat ein IT-Experte jetzt Sicherheitslücken gefunden, über die sich zum Beispiel Login-Daten auslesen lassen.

In 111 der 200 meist genutzten, kostenlosen Apps für iPhones und iPads hat der Hamburger Sicherheitsforscher Thomas Jansen laut einem Bericht von Zeit online eine Sicherheitslücke entdeckt. Über diese können mittels sogenannter Man-in-the-Middle-Attacken sensible Nutzerdaten wie Passwörter ausgespäht werden.

Jansen, der zuvor selbst einige Jahre bei Apple gearbeitet hatte, fand zum einen Apps, die übertragene Daten gar nicht verschlüsseln. Zum anderen fand er solche, die Daten zwar über verschlüsselte Verbindungen verschicken, diese aber nur unzureichend vor Manipulationen schützen.

Dieser Schutz vor Manipulationen funktioniert mithilfe sogenannter Zertifikate. Jansen entdeckte, dass viele Apps auch ein gefälschtes Zertifikat akzeptieren, ohne den vorgesehenen Prüfprozess durchzuführen. So können Datenströme von einem Angreifer wieder entschlüsselt werden.

Eine Liste der problematischen Apps veröffentlicht der Sicherheitsberater nicht. Als Beispiel nennt Jansen nur die Mode-Shopping-App Shein (vor der die Verbraucherzentrale Niedersachsen allerdings im April 2017 aus ganz anderen Gründen warnte.) In einem Modellangriff zeigte Jansen, wie sich dort Nutzername und Passwort auslesen lassen. Mit diesen Informationen wär es beispielsweise möglich, in Namen des jeweiligen Nutzers einzukaufen.

Attacken über ungesicherte WLAN-Verbindungen

Für die eine Attacke mittels gefälschtem Zertifikat müssen die Angreifer Zugriff auf das Netz haben, in dem sich das jeweilige iPhone oder iPad befindet, beispielsweise indem sie im gleichen öffentlichen WLAN-Hotspot eingeloggt sind.

Eine besondere Relevanz bekommt die Lücke dadurch, dass sowohl öffentliche als auch heimische WLAN-Netzwerke zurzeit als unsicher gelten. Denn die ansonsten als sicher geltende WPA2-Verschlüsselung weist eine Schwäche auf, die noch nicht flächendeckend behoben ist. Denkbar wäre auch, dass Arbeitgeber über ihr Firmennetzwerk Nutzerdaten von Angestellten abgreifen.

Im Fokus der Untersuchung von Jansen standen ausschließlich iOS-Apps. Offen ist, inwiefern auch Android-Anwendungen ähnliche Schwächen aufweisen.

Die Lösung ist da - eigentlich

Laut Jansen wäre die Gefahr vermeidbar, wenn Apple konsequenter auf die Umsetzung von Sicherheitsmaßnahmen achten würde. Seit 2015 gibt es mit ATS (App Transport Security) einen Standard für sichere, verschlüsselte App-Kommunikation. Ursprünglich hatte der IT-Konzern mit einer Frist für den 01. Januar 2017 alle Anbieter von iOS-Apps dazu aufgefordert, diesen Standard zu übernehmen. Ende 2016 hat Apple den Termin auf unbestimmte Zeit verschoben, da App-Anbieter mit der Umsetzung anscheinend nicht hinterherkommen.

Aktuell ist es noch möglich, den ATS-Standard zu ignorieren. Viele App-Entwickler tun das auch und gefährden somit die Sicherheit ihrer Nutzer. Grund dafür ist der Zwang zur Geschwindigkeit in der App-Welt, vermutet Jansen:

„Der Wunsch, die frisch entwickelte App so schnell wie möglich in den App Store zu bringen, verleitet viele Entwickler anscheinend dazu, 'Abkürzungen' zu nehmen und am falschen Ende zu sparen. Und während am Anfang gehofft wird, dass man noch zu klein und daher nicht im Fokus eines Angreifers ist, so wird später damit argumentiert, dass es bisher ja auch immer gut gegangen ist.“

Was tun?

Über einen VPN-Dienst können Sie Ihren Datenverkehr zusätzlich absichern. Dabei werden Daten nicht mehr direkt zum Anbieter der App geschickt, sondern über einen zwischengeschalteten Virtual Private Network-Anbieter.

Und um sich vor Auswirkungen der WLAN-Sicherheitslücke "Krack" zu schützen, empfiehlt es sich, Updates für Endgeräte und auch für den heimischen Router einzuspielen, sobald diese verfügbar sind.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Backup 

Backup fürs iPhone – so geht’s

iPhone- und iPad-Nutzer*innen können ihre Daten auf zwei Arten sichern – entweder über die iCloud oder lokal auf einem Computer. Wir zeigen die Vor- und Nachteile der beiden Backup-Varianten.

Mehr
Schadprogramme 

Stagefright: Automatisches Laden von MMS Deaktivieren

Im Android-Betriebssystem klaffen eine Reihe gravierender Sicherheitslücken. Mit infizierten MMS können Hacker durch diese Lücken auf Geräte zugreifen. Bis das Problem behoben ist, empfehlen Experten, das automatische Laden von MMS zu deaktivieren.

Mehr
App-Test 

K-9 Mail: Datensichere Mail-App kurz vorgestellt (Android)

Anders als viele Konkurrenten ist die Mail-App K-9 frei von Werbung und Tracking und geht rundum sorgsam mit Ihren Daten um. Das Design ist schlicht und funktional. Hinter der App steht ein ehrenamtliches Entwickler*innen-Team.

Mehr
Ratgeber 

Daten vom Mobilgerät löschen

Smartphones können jede Menge sensibler Daten speichern. Manchmal ist es wünschenswert, diese Daten wieder zu entfernen. Einfach Zurücksetzen oder Löschen reicht dafür nicht, denn dann können die Daten unter Umständen leicht wiederhergestellt werden.

Mehr