Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.090 Produkten

26

Sicherheitsforscher: Populäre iPhone-Apps schützen Login-Daten unzureichend

HTTPS

Apple wollte Entwickler längst zur ausschließlichen Verwendung verschlüsselter Verbindungen zwingen – hat die Einführung aber verschoben.

Über die Hälfte der am häufigsten heruntergeladenen iPhone- und iPad-Apps weisen einer Analyse zufolge Schwachstellen auf, die das Abgreifen von Zugangsdaten ermöglichen.

Anzeige
Apple iPhone 8 64GB grau
Apple iPhone 8 64GB grau ab € 677,–

In vielen populären iPhone-Apps stecken Schwachstellen: Weil die Verschlüsselung der Daten bei der Übermittlung fehlerhaft umgesetzt worden sei, ist es unter bestimmten Voraussetzungen möglich, die Login-Daten der Nutzer für den jeweiligen Dienst abzufangen, erklärt ein Sicherheitsforscher gegenüber der Zeit.

Anzeige

Nach Recherchen des Hamburger Sicherheitsspezialisten Thomas Jansen wiesen von den 200 populärsten kostenlosen iOS-Apps 111 diese Lücke auf. Die Übertragung sensibler Daten wie Benutzername und Passwort werde nicht oder nur unzureichend durch eine verschlüsselte Übertragung abgesichert. Jansen testete nur Apps für iPhone und iPad, nicht für andere Mobilsysteme. Experten gehen allerdings davon aus, dass auch viele Android-Apps eine entsprechende Lücke aufweisen.

Die von Jansen beschriebene Attacke ist mit einem gewissen Aufwand verbunden. Der Angreifer muss als "Man in the Middle" die Kommunikation zwischen der App und dem Serviceanbieter zumindest beobachten können, das ist beispielsweise bei unverschlüsselten Verbindungen in öffentlichen Hotspots möglich. Eine Attacke wäre auch möglich, wenn sich die Angreifer in das Netzwerk einklinken kann und den Datenverkehr umleitet.

Eigentlich sollten iOS-App-Entwickler nach Apples Plänen schon seit Ende 2016 gar keine ungesicherten Verbindungen mehr nutzen dürfen, diese Deadline wurde aber auf unbestimmte Zeit verschoben.

Apples mit iOS 9 und OS X 10.11 El Capitan eingeführte Technik “App Transport Security” soll für eine sichere Standardkonfiguration sorgen sowie die versehentliche Preisgabe von Daten verhindern. Apps müssen dafür angeben, mit welchen Domains sie kommunizieren wollen. Der iPhone-Hersteller setzt für HTTPS-Verbindungen nun TLS v1.2, AES-128 und SHA-2 zur Verschlüsselung sowie auch Forward Secrecy voraus: Letzteres soll verhindern, dass eine bereits abgeschlossene, verschlüsselte Kommunikation zu einem späteren Zeitpunkt mit Kenntnis des geheimen Schlüssels geknackt wird. Die Verwendung der Technik ist bislang aber rein optional und dürfte deshalb in vielen Fällen nicht zum Einsatz kommen.

Linus Neumann, einer der Sprecher des Chaos Computer Clubs (CCC), hat die Analyse des Sicherheitsforschers an einer der 111 betroffenen Apps exemplarisch nachvollzogen und bestätigt. "Für die Übertragung von Zugangsdaten im Klartext – also unverschlüsselt – gibt es heutzutage keine Entschuldigung mehr", betonte Neumann gegenüber der Zeit. Apple wollte sich zu der Angelegenheit bislang nicht äußern. (mit Material der dpa) / (lbe)

26 Kommentare

Themen:

Anzeige
  1. Mangelnder Datenschutz in Apple Watch & Co.: Verbraucherschützer mahnen Wearable-Hersteller ab

    Apple Watch

    Einer Analyse zufolge senden Fitness-Tracker eine statische MAC-Adresse und lassen sich so durch Dritte eindeutig identifizieren. Die Verbraucherzentrale bemängelt zudem Teile der Datenschutzerklärung.

  2. App Store sperrte offenbar iranische iPhone-Nutzer aus

    App Store sperrte iranische iPhone-Nutzer aus

    Der Zugriff auf den zentralen App Store wurde wohl mit einer IP-basierten Sperre für iranische Nutzer blockiert. Apps iranischer Entwickler hat Apple bereits im vergangenen Jahr entfernt.

  3. Google Earth: Update bewahrt iOS-App vor dem Aus durch iOS 11

    Google Earth iPad

    Google hat eine 64-Bit-Version der populären App für iPhone und iPad freigegeben und neue Funktionen integriert. Alte 32-Bit-Apps, darunter fiel bislang auch Google Earth, starten in iOS 11 nicht mehr.

  4. iOS 11: Apple-Apps vom iPhone löschen – diesmal wirklich

    iOS 11 Apple-Apps löschen

    Seit iOS 10 können Nutzer die vorinstallierten Apps aus dem Betriebssystem entfernen, diese wurden aber nur versteckt. Mit iOS 11 löscht man sie nun wirklich von iPhone und iPad – dies ist nun bei mehr Apps als bisher möglich.

  1. Vom iPhone zu Android: So gelingt der Smartphone-Wechsel

    Sie haben keine Lust mehr auf das iPhone und wollen ins Android-Lager wechseln? Wir zeigen, wie Sie problemlos umziehen.

  2. Von Android zu iPhone - So gelingt der Wechsel

    Sie haben keine Lust mehr auf Android und möchten zum iPhone wechseln? Kein Problem: Wir zeigen, wie Sie problemlos umziehen.

  3. So nutzen Sie iCloud mit Android

    Apples iCloud ist komplett auf die Nutzung mit Apple-Hardware zugeschnitten. Doch mit den richtigen Kniffen nutzen Sie iCloud auch unter Android.

  1. Roboter übernehmen erstmals die Spargelernte

    Fabriken kehren aus China zurück

    Die Spargelsaison hat begonnen. Doch es wird immer schwerer, Feldarbeiter für die Ernte zu finden. Nun schicken sich erste autonome Maschinen an, den Job zu übernehmen.

  2. Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

    Überlebensgroße Statuen, die herzlich lachen

    In letzter Minute nimmt Österreich der neuen EU-Datenschutzverordnung den Biss, die meisten Verstöße werden straffrei bleiben. Und Datenschutz-NGOs dürfen keinen Schadenersatz eintreiben.

  3. Zahlen, bitte! Hubble-Weltraumteleskop blickt 13,4 Milliarden Lichtjahre tief ins All

    Zahlen, bitte! Ein 13,4 Milliarden Jahre tiefer Lichtblick in die universelle Kinderstube.

    Seit genau 28 Jahren liefert das Hubble-Weltraumteleskop im All beeindruckende Bilder und lichtete sogar ein Objekt in der unvorstellbaren Entfernung von 13,4 Milliarden Lichtjahren ab.

  4. NASA-Teleskop Neowise: Hunderte erdnahe Objekte entdeckt, auch potenziell gefährliche

    NASA-Teleskop Neowise: Hunderte erdnahe Objekte entdeckt, auch potenziell gefährliche

    Seit seiner Reaktivierung scannt das Weltraumteleskop Neowise der NASA den Himmel unter anderem nach potenziell gefährlichen Objekten ab, die auf die Erde stürzen könnten. In den Daten zu Zehntausenden Himmelskörpern gibt es einige.

Anzeige