Dutzende bekannte iOS-Apps mit löchriger Datensicherheit

Das Mobile-Team der Sudo Security Group ist bei einer Stichprobe im App-Store auf Hunderte iOS-Apps gestossen, bei denen die Transportverschlüsselung gefährdet ist. Der Tech-Blog Ars Technica konnte die fehlerhafte TLS-Verschlüsselung bei 76 bekannten Apps verifizieren. Die Anwendungen sollen inzwischen schon mehr als 18 Millionen Mal aus Apples Software-Laden heruntergeladen worden sein. Bei einigen der betroffenen Apps erfolge zwar der Datenverkehr über eine verschlüsselte Transportverbindung (TLS), jedoch ohne die Gültigkeit des Zertifikats zu überprüfen.

Der Schweregrad variiere jedoch von Fall zu Fall. Bei 33 Anwendungen war das Sicherheitsrisiko laut Sudo relativ gering, weil meist analytische Metadaten abschöpfbar wären. In diese Kategorie fiel seine Serie an Drittanbieter-«Uploader-Apps» für Snapchat, die das Tor öffnen, um Nutzernamen und Passwörter abzufangen. Bei 19 Apps, die wegen Blosslegung von Gesundheits- und Finanzdaten ein grösseres Sicherheitsrisiko darstellen, will der Sicherheitsanbieter den Bericht erst in 60 Tagen veröffentlichen.

Das Problem: Erfolgt kein TLS-Gültigkeitscheck, wird ein sogenannter Man-in-the-Middle-Angriff möglich. Das ist besonders dann brisant, wenn der Anwender sich in einem unsicheren, öffentlichen WLAN befindet. Über eine Mobilfunkverbindung wäre ein theoretisches Abfangen von heiklen Daten ebenfalls möglich, aber mit einem wesentlich höheren Aufwand verbunden (z.B. über einen sogenannten IMSI Catcher).

Es gibt bis jetzt keinen Fix von Apple. Der wäre wahrscheinlich auch nicht so leicht möglich. Apple prüfe beim Einstellen neuer Apps nur, ob TLS aktiv ist, nicht aber die Konfiguration. Die App-Entwickler sollten jedoch in der Lage sein, die betroffenen Apps mit ein paar wenigen Zeilen Code abzudichten, wie Will Strafach von Sudo Labs von PCWorld zitiert wird.

Solange nichts näher bekannt ist, empfiehlt es sich, unsichere WLANs zu meiden oder besser auf die mobile Datenverbindung auszuweichen. Eine Alternative zu einem öffentlichen WLAN: Nutzen Sie eine sichere Verbindung über einen eigenen VPN-Server.