Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

26

Sicherheitsforscher: Populäre iPhone-Apps schützen Login-Daten unzureichend

HTTPS

Apple wollte Entwickler längst zur ausschließlichen Verwendung verschlüsselter Verbindungen zwingen – hat die Einführung aber verschoben.

Über die Hälfte der am häufigsten heruntergeladenen iPhone- und iPad-Apps weisen einer Analyse zufolge Schwachstellen auf, die das Abgreifen von Zugangsdaten ermöglichen.

Anzeige
Apple iPhone 8 64GB grau
Apple iPhone 8 64GB grau ab € 708,–

In vielen populären iPhone-Apps stecken Schwachstellen: Weil die Verschlüsselung der Daten bei der Übermittlung fehlerhaft umgesetzt worden sei, ist es unter bestimmten Voraussetzungen möglich, die Login-Daten der Nutzer für den jeweiligen Dienst abzufangen, erklärt ein Sicherheitsforscher gegenüber der Zeit.

Zugangsdaten werden unzureichend gesichert – oder gar nicht

Nach Recherchen des Hamburger Sicherheitsspezialisten Thomas Jansen wiesen von den 200 populärsten kostenlosen iOS-Apps 111 diese Lücke auf. Die Übertragung sensibler Daten wie Benutzername und Passwort werde nicht oder nur unzureichend durch eine verschlüsselte Übertragung abgesichert. Jansen testete nur Apps für iPhone und iPad, nicht für andere Mobilsysteme. Experten gehen allerdings davon aus, dass auch viele Android-Apps eine entsprechende Lücke aufweisen.

Die von Jansen beschriebene Attacke ist mit einem gewissen Aufwand verbunden. Der Angreifer muss als "Man in the Middle" die Kommunikation zwischen der App und dem Serviceanbieter zumindest beobachten können, das ist beispielsweise bei unverschlüsselten Verbindungen in öffentlichen Hotspots möglich. Eine Attacke wäre auch möglich, wenn sich die Angreifer in das Netzwerk einklinken kann und den Datenverkehr umleitet.

Apples Deadline für HTTPS-Zwang aufgeschoben

Eigentlich sollten iOS-App-Entwickler nach Apples Plänen schon seit Ende 2016 gar keine ungesicherten Verbindungen mehr nutzen dürfen, diese Deadline wurde aber auf unbestimmte Zeit verschoben.

Apples mit iOS 9 und OS X 10.11 El Capitan eingeführte Technik “App Transport Security” soll für eine sichere Standardkonfiguration sorgen sowie die versehentliche Preisgabe von Daten verhindern. Apps müssen dafür angeben, mit welchen Domains sie kommunizieren wollen. Der iPhone-Hersteller setzt für HTTPS-Verbindungen nun TLS v1.2, AES-128 und SHA-2 zur Verschlüsselung sowie auch Forward Secrecy voraus: Letzteres soll verhindern, dass eine bereits abgeschlossene, verschlüsselte Kommunikation zu einem späteren Zeitpunkt mit Kenntnis des geheimen Schlüssels geknackt wird. Die Verwendung der Technik ist bislang aber rein optional und dürfte deshalb in vielen Fällen nicht zum Einsatz kommen.

Linus Neumann, einer der Sprecher des Chaos Computer Clubs (CCC), hat die Analyse des Sicherheitsforschers an einer der 111 betroffenen Apps exemplarisch nachvollzogen und bestätigt. "Für die Übertragung von Zugangsdaten im Klartext – also unverschlüsselt – gibt es heutzutage keine Entschuldigung mehr", betonte Neumann gegenüber der Zeit. Apple wollte sich zu der Angelegenheit bislang nicht äußern. (mit Material der dpa) / (lbe)

26 Kommentare

Themen:

Anzeige
  1. HTTPS-Zwang für Apps: Apple verlängert Deadline

    App Transport Security

    Eigentlich sollten iPhone- und iPad-Apps ab Jahresende nicht mehr über ungesicherte HTTP-Verbindungen kommunizieren, nun hat Apple zusätzliche Zeit für die Umstellung eingeräumt.

  2. Marktforscher: Apple löscht fast 50.000 Apps aus dem App Store

    App Store

    Apple hatte bereits angekündigt, gegen veraltete iOS-Programme vorzugehen. Der "Big Purge" ist aktuell voll im Gang, hat ein App–Researcher festgestellt.

  3. Mangelnder Datenschutz in Apple Watch & Co.: Verbraucherschützer mahnen Wearable-Hersteller ab

    Apple Watch

    Einer Analyse zufolge senden Fitness-Tracker eine statische MAC-Adresse und lassen sich so durch Dritte eindeutig identifizieren. Die Verbraucherzentrale bemängelt zudem Teile der Datenschutzerklärung.

  4. TLS-Problem: Verschiedene iOS-Apps für Man-in-the-Middle-Angriffe anfällig

    iPhone 7

    Einem Sicherheitsforscher zufolge implementieren Programme wie die App von Vice News oder der Huawei-HiLink-Client das Verschlüsselungsprotokoll nicht korrekt, sodass Datenverkehr abgegriffen werden kann.

  1. Apple-ID: FAQ zum Erstellen, Wechseln und Löschen des Benutzerkontos

    Apple ID verwalten

    Für alle Apple-Dienste ist eine Apple-ID notwendig, von iCloud über iMessage bis zum Einkauf im App Store und iTunes Store. Nutzer stolpern dabei immer wieder über Probleme – Mac & i hat Lösungen zusammengestellt.

  2. Sollte Apple OS X abschotten wie iOS?

    Die Daten auf iPhone und iPad sind so gut geschützt, dass selbst das FBI große Mühe hat, heranzukommen. Auf dem Mac ist hingegen schon der erste Erpressungstrojaner im Umlauf. Wir haben diskutiert, ob das Sicherheitskonzept von iOS auch für OS X taugt.

  3. Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Zukunft der Webentwicklung: Webkomponenten und Progressive Web Apps, Teil 2

    Bei Progressive Web Apps handelt es sich um Webanwendungen, die sich ähnlich wie ihre nativen Gegenstücke anfühlen. Davon kann insbesondere die App-Programmierung profitieren.

  1. Terabyte-große Datenkontainer entdeckt: US-Militär überwacht Soziale Netzwerke weltweit

    Terabyte-große Datenkontainer entdeckt: US-Militär überwacht Soziale Netzwerke weltweit

    Bei einem Routine-Scan fielen dem Security-Experten Chris Vickery riesige Daten-Container in die Hände, die das US-Militär zur Überwachung und Manipulation sozialer Netzwerke in der Amazon-Cloud gesammelt hat.

  2. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  3. Russland plant zweiten Raketenstart vom Weltraumbahnhof Wostotschny

    Russland plant zweiten Raketenstart vom Weltraumbahnhof Wostotschny

    Anderhalb Jahre nach dem ersten Start einer Rakete von dem neuen Weltraumbahnhof im Fernern Osten Russlands soll in Kürze ein weiterer Start folgen.

  4. Verhandlungen über Killerroboter in Genf

    Verhandlungen über Killerroboter in Genf

    Am Sitz der Vereinten Nationen in Genf wurde diese Woche ein Thema diskutiert, das sich für große Teile der Öffentlichkeit nach wie vor wie Science-Fiction anhört: tödliche autonome Waffensysteme oder Killerroboter.

Anzeige