Dutzende bekannte iOS-Apps mit löchriger Datensicherheit

Das Sicherheitsteam der Sudo Security Group ist auf Hunderte iOS-Apps gestossen, bei denen die Verschlüsselung der App-Daten potenziell unsicher ist. [...]

Das Mobile-Team der Sudo Security Group ist bei einer Stichprobe im App-Store auf Hunderte iOS-Apps gestossen, bei denen die Transportverschlüsselung gefährdet ist. Der Tech-Blog Ars Technica konnte die fehlerhafte TLS-Verschlüsselung bei 76 bekannten Apps verifizieren.
Die Anwendungen sollen inzwischen schon mehr als 18 Millionen Mal aus Apples Software-Laden heruntergeladen worden sein. Bei einigen der betroffenen Apps erfolge zwar der Datenverkehr über eine verschlüsselte Transportverbindung (TLS), jedoch ohne die Gültigkeit des Zertifikats zu überprüfen.
Der Schweregrad variiere jedoch von Fall zu Fall. Bei 33 Anwendungen war das Sicherheitsrisiko laut Sudo relativ gering, weil meist analytische Metadaten abschöpfbar wären. In diese Kategorie fiel seine Serie an Drittanbieter-Uploader-Apps für Snapchat, die das Tor öffnen, um Nutzernamen und Passwörter abzufangen. Bei 19 Apps, die wegen Blosslegung von Gesundheits- und Finanzdaten ein grösseres Sicherheitsrisiko darstellen, will der Sicherheitsanbieter den Bericht erst in 60 Tagen veröffentlichen.

Wie sich iPhone-Nutzer schützen können
Das Problem: Erfolgt kein TLS-Gültigkeitscheck, wird ein sogenannter Man-in-the-Middle-Angriff möglich. Das ist besonders dann brisant, wenn der Anwender sich in einem unsicheren, öffentlichen WLAN befindet. Über eine Mobilfunkverbindung wäre ein theoretisches Abfangen von heiklen Daten ebenfalls möglich, aber mit einem wesentlich höheren Aufwand verbunden (z.B. über einen sogenannten IMSI Catcher).
Es gibt bis jetzt keinen Fix von Apple. Der wäre wahrscheinlich auch nicht so leicht möglich. Apple prüfe beim Einstellen neuer Apps nur, ob TLS aktiv ist, nicht aber die Konfiguration. Die App-Entwickler sollten jedoch in der Lage sein, die betroffenen Apps mit ein paar wenigen Zeilen Code abzudichten, wie Will Strafach von Sudo Labs von PCWorld zitiert wird.

Solange nichts näher bekannt ist, empfiehlt es sich, unsichere WLANs zu meiden oder besser auf die mobile Datenverbindung auszuweichen. Eine Alternative zu einem öffentlichen WLAN: Nutzen Sie eine sichere Verbindung über einen eigenen VPN-Server.
*Der Autor Simon Gröflin ist Redakteur von PC-Tipp.

Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*