Sicherheitslücken in mindestens 76 iOS-Apps gefunden
HTTPS sollte für Apps im App Store eigentlich schon bis Ende letzten Jahres zur Pflicht werden
Bild: dpa
Mindestens 76 beliebte iOS-Apps sollen Sicherheitslücken aufweisen, die einen potentiellen Man-in-the-Middle-Angriff ermöglichen würden. Das berichtet der Hacker und Sicherheitsexperte Will Strafach auf seinem Blog
[Link entfernt]
. Strafach, der sich einst als iPhone-Hacker einen Namen machte, ist inzwischen CEO der auf iOS spezialisierten Sicherheitsfirma Sudo Security Group. Diese bietet mit verify.ly
[Link entfernt]
einen webbasierten Analyseservice für Apps an. Um die häufigsten iOS-Sicherheitslücken für das Tool zu finden, hatte Strafach Apps aus dem App Store automatisch untersuchen lassen - mit erschreckendem Ergebnis.
19 Apps weisen ein erhöhtes Sicherheitsrisiko auf
HTTPS sollte für Apps im App Store eigentlich schon bis Ende letzten Jahres zur Pflicht werden
Bild: dpa
Laut Strafach sind insgesamt 76 Apps anfällig für sogenannte Man-in-the-Middle-Angriffe. Dabei könnten Daten beim Übermitteln zwischen App und Server von Dritten abgefangen werden. 33 der Apps würden aber immerhin keine allzu sensiblen Daten übermitteln, sondern "nur" Analyse- oder Geräte-Daten, gegebenenfalls auch Log-In-Daten und E-Mail-Adressen. Ein mittleres Sicherheitsrisiko bestünde bei 24 Apps. Hier könnten Angreifer ebenfalls Log-In-Daten, aber vor allem auch die Sicherheitstoken eingeloggter Nutzer abgegreifen.
Ein Sicherheitstoken beziehungsweise die Session ID ist dafür zuständig den Zusammenhang mehrerer unterschiedlicher Anfragen eines Nutzers zu erkennen und sie zuzuordnen. Dazu wird dem eingeloggten Nutzer der besagte virtuelle Sicherheitstoken zugewiesen, mit dem er sich bei weiteren Anfragen nach dem Log-In sozusagen ausweisen kann - der Nutzer wird wiedererkannt. So ein Sicherheitstoken sollte also nicht in die Hände eines Angreifers fallen.
Die 19 Apps, denen Strafach ein besonders hohes Sicherheitsrisiko bescheinigt, weisen zwar ähnliche Mängel auf, wie die 24 Apps mit mittlerem Sicherheitsrisiko, würden aber weitaus sensiblere Daten übermitteln. Etwa aus dem medizinischen oder Finanz-Bereich.
Um welche Apps es sich dabei handelt, wurde nicht bekannt gegeben. Sie sollen aber insgesamt für rund 18 Millionen Downloads verantwortlich sein. Den Entwicklern soll erst noch mindestens 60 Tage Zeit gegeben werden, um die Lücken zu schließen. Lediglich ein paar Apps, die keine sonderlich sensiblen Daten Preis gegeben können, wurden genannt. So zum Beispiel die App Huawei HiLink oder der Uploader for Snapchat.
Lösung: TLS-Verschlüsselung mit HTTPS
Eine TLS-Verschlüsselung über HTTPS könnte die Sicherheitslücken schließen
Bild: dpa
Eigentlich hätten die betroffenen Anwendungen mittels TLS-Verschlüsselung geschützt sein sollen. Bei der TLS-Verschlüsselung, der Transport Layer Security, handelt es sich um ein Verschlüsselungsprotokoll, welches den Datenaustausch im Internet sichert. Es findet beispielsweise auch bei der HTTPS-Verschlüsselung Verwendung. Apple wollte die Verschlüsselung eigentlich schon bis Ende letzten Jahres zur Pflicht für App-Entwickler machen, hatte die Deadline aber verschoben. Derartige Sicherheitslücken gibt es übrigens auch immer wieder bei Android-Apps.
Sicherheitshinweis: WLAN ausschalten
Strafach hat auch einen Sicherheitshinweis parat, bis die Sicherheitslücken geschlossen worden sind. So sollte man beim Abfragen oder Übermitteln sensibler Daten, etwa dem Abfragen des eigenen Kontostands via Banking-App, auf WLAN-Verbindungen gänzlich verzichten. Vor allem öffentlich WLAN-Netzwerke sind prädestiniert für Man-in-the-Middle-Angriffe. Lieber soll man, so Strafach weiter, auf eine Mobilfunkverbindung setzen und das WLAN komplett ausschalten. Ein Angriff wäre zwar auch über eine Mobilfunkverbindung möglich, aber aufwendiger und kostenintensiver.
In einem Ratgeber-Artikel haben wir zusammengefasst, was in puncto WLAN-Sicherheit an Hotspots zu beachten ist.