News vom 08.11.2017

Viele iOS-Apps mit unsicherer Datenübertragung

Ein Artikel von , veröffentlicht am 08.11.2017

Apples Betriebssystem iOS gilt als sicher, zumindest im Vergleich mit Android. Doch bei den Apps für iOS sieht es nicht so gut aus: Bei vielen populären Apps für iPhone und iPad hat ein IT-Experte jetzt Sicherheitslücken gefunden, über die sich zum Beispiel Login-Daten auslesen lassen.

In 111 der 200 meist genutzten, kostenlosen Apps für iPhones und iPads hat der Hamburger Sicherheitsforscher Thomas Jansen laut einem Bericht von Zeit online eine Sicherheitslücke entdeckt. Über diese können mittels sogenannter Man-in-the-Middle-Attacken sensible Nutzerdaten wie Passwörter ausgespäht werden.

Jansen, der zuvor selbst einige Jahre bei Apple gearbeitet hatte, fand zum einen Apps, die übertragene Daten gar nicht verschlüsseln. Zum anderen fand er solche, die Daten zwar über verschlüsselte Verbindungen verschicken, diese aber nur unzureichend vor Manipulationen schützen.

Dieser Schutz vor Manipulationen funktioniert mithilfe sogenannter Zertifikate. Jansen entdeckte, dass viele Apps auch ein gefälschtes Zertifikat akzeptieren, ohne den vorgesehenen Prüfprozess durchzuführen. So können Datenströme von einem Angreifer wieder entschlüsselt werden.

Eine Liste der problematischen Apps veröffentlicht der Sicherheitsberater nicht. Als Beispiel nennt Jansen nur die Mode-Shopping-App Shein (vor der die Verbraucherzentrale Niedersachsen allerdings im April 2017 aus ganz anderen Gründen warnte.) In einem Modellangriff zeigte Jansen, wie sich dort Nutzername und Passwort auslesen lassen. Mit diesen Informationen wär es beispielsweise möglich, in Namen des jeweiligen Nutzers einzukaufen.

Attacken über ungesicherte WLAN-Verbindungen

Für die eine Attacke mittels gefälschtem Zertifikat müssen die Angreifer Zugriff auf das Netz haben, in dem sich das jeweilige iPhone oder iPad befindet, beispielsweise indem sie im gleichen öffentlichen WLAN-Hotspot eingeloggt sind.

Eine besondere Relevanz bekommt die Lücke dadurch, dass sowohl öffentliche als auch heimische WLAN-Netzwerke zurzeit als unsicher gelten. Denn die ansonsten als sicher geltende WPA2-Verschlüsselung weist eine Schwäche auf, die noch nicht flächendeckend behoben ist. Denkbar wäre auch, dass Arbeitgeber über ihr Firmennetzwerk Nutzerdaten von Angestellten abgreifen.

Im Fokus der Untersuchung von Jansen standen ausschließlich iOS-Apps. Offen ist, inwiefern auch Android-Anwendungen ähnliche Schwächen aufweisen.

Die Lösung ist da - eigentlich

Laut Jansen wäre die Gefahr vermeidbar, wenn Apple konsequenter auf die Umsetzung von Sicherheitsmaßnahmen achten würde. Seit 2015 gibt es mit ATS (App Transport Security) einen Standard für sichere, verschlüsselte App-Kommunikation. Ursprünglich hatte der IT-Konzern mit einer Frist für den 01. Januar 2017 alle Anbieter von iOS-Apps dazu aufgefordert, diesen Standard zu übernehmen. Ende 2016 hat Apple den Termin auf unbestimmte Zeit verschoben, da App-Anbieter mit der Umsetzung anscheinend nicht hinterherkommen.

Aktuell ist es noch möglich, den ATS-Standard zu ignorieren. Viele App-Entwickler tun das auch und gefährden somit die Sicherheit ihrer Nutzer. Grund dafür ist der Zwang zur Geschwindigkeit in der App-Welt, vermutet Jansen:

„Der Wunsch, die frisch entwickelte App so schnell wie möglich in den App Store zu bringen, verleitet viele Entwickler anscheinend dazu, 'Abkürzungen' zu nehmen und am falschen Ende zu sparen. Und während am Anfang gehofft wird, dass man noch zu klein und daher nicht im Fokus eines Angreifers ist, so wird später damit argumentiert, dass es bisher ja auch immer gut gegangen ist.“

Was tun?

Über einen VPN-Dienst können Sie Ihren Datenverkehr zusätzlich absichern. Dabei werden Daten nicht mehr direkt zum Anbieter der App geschickt, sondern über einen zwischengeschalteten Virtual Private Network-Anbieter.

Und um sich vor Auswirkungen der WLAN-Sicherheitslücke "Krack" zu schützen, empfiehlt es sich, Updates für Endgeräte und auch für den heimischen Router einzuspielen, sobald diese verfügbar sind.

Geschrieben von

E-Mail

mey@jb-schnittstelle.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

Wie sich Mobilgeräte verschlüsseln lassen

Smartphone-Nutzer speichern im Alltag viele Daten auf ihren Geräten, die nicht in fremde Hände gelangen sollten: Fotos, E-Mails und vieles mehr. Doch was, wenn das Gerät verloren geht? Eine komplette Verschlüsselung aller Daten wird immer wichtiger.

Mehr
App-Test 

Schwangerschaft+ im Test: Facebook liest mit

Die beliebte App "Schwangerschaft+" begleitet werdende Eltern mit Informationen und hilft, die Vorbereitungen zu organisieren. Kritisch: Die App sendet sensible Informationen an Facebook - zum Beispiel die Schwangerschaftswoche. Der Hersteller hat angekündigt, diese Praxis bald einzustellen - noch ist es aber nicht so weit.

Mehr
Ratgeber 

Wie im Internet Geld verdient wird – Markt und Macht der Werbebranche

Werbung macht kostenlose Internet-Dienste und Apps profitabel. Ohne Nutzerdaten und Verhaltensanalysen kommt dieses System nicht aus. Die Akteure auf diesem Markt und ihre Geschäftspraktiken kennt kaum jemand.

Mehr
Kinder und Jugendliche 

Android-Smartphone teilen? So funktionieren Nutzerkonten

Bei Android-Geräten kann man Nutzerkonten mit eingeschränkten Rechten anlegen. Das ist praktisch, wenn Sie das eigene Gerät zum Beispiel Ihrem Kind in die Hand geben wollen. Wir erklären, wie es geht und welche Fallstricke es dabei gibt. Allerdings unterstützen nicht alle Hersteller die Funktion.

Mehr