Apple

Sicher­heits­lücken in mindestens 76 iOS-Apps gefunden

Der Sicherheits­experte Will Strafach berichtet von 76 iOS-Apps die anfällig für sogenannte Man-in-the-Middle-Angriffe wären. So könnten teils sensible Daten abgegriffen werden.
Von David Rist
AAA
Teilen (8)

Die App Store Anwendung auf einem iPhone.HTTPS sollte für Apps im App Store eigentlich schon bis Ende letzten Jahres zur Pflicht werden Mindestens 76 beliebte iOS-Apps sollen Sicherheits­lücken aufweisen, die einen potentiellen Man-in-the-Middle-Angriff ermöglichen würden. Das berichtet der Hacker und Sicherheits­experte Will Strafach auf seinem Blog. Strafach, der sich einst als iPhone-Hacker einen Namen machte, ist inzwischen CEO der auf iOS spezialisierten Sicher­heits­firma Sudo Security Group. Diese bietet mit verify.ly einen webbasierten Analyse­service für Apps an. Um die häufigsten iOS-Sicherheits­lücken für das Tool zu finden, hatte Strafach Apps aus dem App Store automatisch unter­suchen lassen - mit erschreckendem Ergebnis.

19 Apps weisen ein erhöhtes Sicher­heits­risiko auf

Laut Strafach sind insgesamt 76 Apps anfällig für sogenannte Man-in-the-Middle-Angriffe. Dabei könnten Daten beim Über­mitteln zwischen App und Server von Dritten abgefangen werden. 33 der Apps würden aber immerhin keine allzu sensiblen Daten übermitteln, sondern "nur" Analyse- oder Geräte-Daten, gegebenen­falls auch Log-In-Daten und E-Mail-Adressen. Ein mittleres Sicher­heits­risiko bestünde bei 24 Apps. Hier könnten Angreifer ebenfalls Log-In-Daten, aber vor allem auch die Sicher­heits­token eingeloggter Nutzer abgegreifen.

Ein Sicher­heits­token beziehungs­weise die Session ID ist dafür zuständig den Zusammen­hang mehrerer unter­schiedlicher Anfragen eines Nutzers zu erkennen und sie zuzuordnen. Dazu wird dem eingeloggten Nutzer der besagte virtuelle Sicher­heits­token zugewiesen, mit dem er sich bei weiteren Anfragen nach dem Log-In sozusagen ausweisen kann - der Nutzer wird wieder­erkannt. So ein Sicher­heits­token sollte also nicht in die Hände eines Angreifers fallen.

Die 19 Apps, denen Strafach ein besonders hohes Sicher­heits­risiko bescheinigt, weisen zwar ähnliche Mängel auf, wie die 24 Apps mit mittlerem Sicher­heits­risiko, würden aber weitaus sensiblere Daten übermitteln. Etwa aus dem medizinischen oder Finanz-Bereich.

Um welche Apps es sich dabei handelt, wurde nicht bekannt gegeben. Sie sollen aber insgesamt für rund 18 Millionen Downloads verantwortlich sein. Den Entwicklern soll erst noch mindestens 60 Tage Zeit gegeben werden, um die Lücken zu schließen. Lediglich ein paar Apps, die keine sonderlich sensiblen Daten Preis gegeben können, wurden genannt. So zum Beispiel die App Huawei HiLink oder der Uploader for Snapchat.

Lösung: TLS-Verschlüsselung mit HTTPS

Die neuen Sicherheitseinstellungen für die Verschlüsselung im WhatsApp Messenger sind auf einem Mobiltelefon aufgerufen.Eine TLS-Verschlüsselung über HTTPS könnte die Sicherheitslücken schließen Eigentlich hätten die betroffenen Anwendungen mittels TLS-Verschlüsselung geschützt sein sollen. Bei der TLS-Verschlüsselung, der Transport Layer Security, handelt es sich um ein Verschlüsselungs­protokoll, welches den Daten­austausch im Internet sichert. Es findet beispiels­weise auch bei der HTTPS-Verschlüsselung Verwendung. Apple wollte die Verschlüsselung eigentlich schon bis Ende letzten Jahres zur Pflicht für App-Entwickler machen, hatte die Deadline aber verschoben. Derartige Sicherheits­lücken gibt es übrigens auch immer wieder bei Android-Apps.

Sicherheitshinweis: WLAN ausschalten

Strafach hat auch einen Sicher­heits­hinweis parat, bis die Sicher­heits­lücken geschlossen worden sind. So sollte man beim Abfragen oder Übermitteln sensibler Daten, etwa dem Abfragen des eigenen Konto­stands via Banking-App, auf WLAN-Verbindungen gänzlich verzichten. Vor allem öffentlich WLAN-Netzwerke sind prädestiniert für Man-in-the-Middle-Angriffe. Lieber soll man, so Strafach weiter, auf eine Mobil­funk­verbindung setzen und das WLAN komplett ausschalten. Ein Angriff wäre zwar auch über eine Mobil­funk­verbindung möglich, aber aufwendiger und kosten­intensiver.

In einem Ratgeber-Artikel haben wir zusammen­gefasst, was in puncto WLAN-Sicherheit an Hotspots zu beachten ist.

Teilen (8)

Mehr zum Thema Apple iOS