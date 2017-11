Über die Hälfte der am häufigsten heruntergeladenen iPhone- und iPad-Apps weisen einer Analyse zufolge Schwachstellen auf, die das Abgreifen von Zugangsdaten ermöglichen.

In vielen populären iPhone-Apps stecken Schwachstellen: Weil die Verschlüsselung der Daten bei der Übermittlung fehlerhaft umgesetzt worden sei, ist es unter bestimmten Voraussetzungen möglich, die Login-Daten der Nutzer für den jeweiligen Dienst abzufangen, erklärt ein Sicherheitsforscher gegenüber der Zeit.



Zugangsdaten werden unzureichend gesichert – oder gar nicht

Nach Recherchen des Hamburger Sicherheitsspezialisten Thomas Jansen wiesen von den 200 populärsten kostenlosen iOS-Apps 111 diese Lücke auf. Die Übertragung sensibler Daten wie Benutzername und Passwort werde nicht oder nur unzureichend durch eine verschlüsselte Übertragung abgesichert. Jansen testete nur Apps für iPhone und iPad, nicht für andere Mobilsysteme. Experten gehen allerdings davon aus, dass auch viele Android-Apps eine entsprechende Lücke aufweisen.

Die von Jansen beschriebene Attacke ist mit einem gewissen Aufwand verbunden. Der Angreifer muss als "Man in the Middle" die Kommunikation zwischen der App und dem Serviceanbieter zumindest beobachten können, das ist beispielsweise bei unverschlüsselten Verbindungen in öffentlichen Hotspots möglich. Eine Attacke wäre auch möglich, wenn sich die Angreifer in das Netzwerk einklinken kann und den Datenverkehr umleitet.

Apples Deadline für HTTPS-Zwang aufgeschoben

Eigentlich sollten iOS-App-Entwickler nach Apples Plänen schon seit Ende 2016 gar keine ungesicherten Verbindungen mehr nutzen dürfen, diese Deadline wurde aber auf unbestimmte Zeit verschoben.

Apples mit iOS 9 und OS X 10.11 El Capitan eingeführte Technik “App Transport Security” soll für eine sichere Standardkonfiguration sorgen sowie die versehentliche Preisgabe von Daten verhindern. Apps müssen dafür angeben, mit welchen Domains sie kommunizieren wollen. Der iPhone-Hersteller setzt für HTTPS-Verbindungen nun TLS v1.2, AES-128 und SHA-2 zur Verschlüsselung sowie auch Forward Secrecy voraus: Letzteres soll verhindern, dass eine bereits abgeschlossene, verschlüsselte Kommunikation zu einem späteren Zeitpunkt mit Kenntnis des geheimen Schlüssels geknackt wird. Die Verwendung der Technik ist bislang aber rein optional und dürfte deshalb in vielen Fällen nicht zum Einsatz kommen.

Linus Neumann, einer der Sprecher des Chaos Computer Clubs (CCC), hat die Analyse des Sicherheitsforschers an einer der 111 betroffenen Apps exemplarisch nachvollzogen und bestätigt. "Für die Übertragung von Zugangsdaten im Klartext – also unverschlüsselt – gibt es heutzutage keine Entschuldigung mehr", betonte Neumann gegenüber der Zeit. Apple wollte sich zu der Angelegenheit bislang nicht äußern. (mit Material der dpa) / (lbe)