Menü
Mac & i

Kein Bug: iTunes- und App-Store-Traffic unverschlüsselt

Apple überträgt Downloads von Anwendungen und Medien ohne SSL. Das sei so beabsichtigt, sagt der Konzern – und schloss einen entsprechenden Fehlerbericht.

Von
vorlesen Drucken Kommentare lesen 73 Beiträge
App Store

App Store und iTunes auf einem iPhone.

(Bild: dpa, Alex Heinl)

Apples Infrastruktur für iTunes- und App-Store-Downloads arbeitet nicht TLS-verschlüsselt – und das ist von dem Konzern so auch gewollt. Das berichtet das Magazin Wired unter Berufung auf den Sicherheitsdienstleister Disconnect.

Wer sich Apps und deren Updates, Musikstücke, Filme oder TV-Serien herunterlädt, tut dies ohne zusätzlichen Schutz via HTTPS. Entsprechend könnten Internet-Provider oder Betreiber eines WLAN problemlos mitschneiden, was ein iOS- oder Mac-Nutzer von Apple bezieht.

Jeder der Downloads enthält zudem einen bestimmten von Apple generierten Code, den sogenannten Destination Signaling Identifier (DSID). Dies ist ein von iCloud generierter Wert, der nur unregelmäßig wechselt. Patrick Jackson, Technikchef von Disconnect, fürchtet, dass die DSIDs dazu verwenden werden könnten, das Nutzerverhalten zu tracken. "Man kann aus den Downloads und den Lieblingsmedien so viel schließen", sagte er zu Wired. Problematisch sei auch, dass Nutzer nicht wüssten, wann Downloads verschlüsselt sind und wann nicht – schließlich gibt es hierfür im App Store oder in iTunes kein Icon.

Disconnect, dem das Verhalten in den letzten Monaten auffiel, reichte im September einen Bug Report bei Apple ein und beschrieb darin die möglichen Problemfelder, nachdem das Unternehmen den Traffic mit einem Netzwerkanalyzer untersucht hatte. Apples Antwort: Die über HTTP gesendeten, unverschlüsselten Downloads seien ein "erwartetes Verhalten". Zwar seien die Downloads selbst nicht verschlüsselt, andere Phasen der Interaktion zwischen Nutzer und Server aber sehr wohl, darunter die Metadatenübertragung vor dem eigentlichen Download. Zudem existiert ein Prozess, der die heruntergeladenen Dateien kryptografisch auf ihre Integrität überprüft – eine Veränderungen "in transit" ist also nicht möglich. Weitere Angaben, warum nicht SSL eingesetzt wird, machte Apple nicht.

Apple setzt in zahlreichen anderen Bereichen voll auf Verschlüsselung. So müssen App-Entwickler seit 2016 Inhalteübertragungen via TLS vornehmen und Dienste wie iMessage oder FaceTime sind Ende-zu-Ende-verschlüsselt. Nicht jeder Sicherheitsexperte sieht in Apples Verhalten ein Problem. Der iOS-Sicherheitsexperte Will Strafach, den Wired ebenfalls befragte, meinte, die unverschlüsselte Übertragung helfe unter anderem Administratoren in großen Netzwerken, Downloads zu cachen und damit effizienter zu verteilen. Wären sie verschlüsselt, müsste jeder Nutzer seinen eigenen Download erhalten.

So merkwürdig Apples Verhalten auch erscheine, eine Sicherheitsbedrohung stelle es nicht dar, solange es die Integritätschecks gebe, meinte Strafach. Auch ein Ausschnüffeln des Nutzers sei mit der TLS-Verschlüsselung nicht grundsätzlich zu unterbinden, da Angreifer sich beispielsweise an den Größen der Apps orientieren könnten. (bsc)