News 05.11.2012, 11:45 Uhr

Auch iOS-Apps bergen Gefahren

Während der Security-Konferenz Hashdays in Luzern diskutierten Sicherheitsspezialisten aus aller Welt die jüngsten Entwicklungen.
Für einmal war das Luzerner Radisson-Blu-Hotel fest in der Hand der «White Hats». Sicherheitsexperten aus der ganzen Welt tauschten sich an der «Hashdays Security Conference», die von Defcon Switzerland organisiert wird, während zwei Tagen über die aktuellsten Trends im Security-Bereich aus.
Zu diesen zählt sicher auch die Absicherung mobiler Applikationen für Smartphones und Tablets. In diesem Zusammenhang hat beispielsweise Ilja van Sprundel von IOActive über die Sicherheit, respektive die Unsicherheit in iOS-Apps berichtet. Entgegen der landläufigen Meinung, dass die rigorose Genehmigungspraxis von Apple für ein sicheres Umfeld für die iPhone- und iPad-Programme sorgt, konnte van Sprundel diverse Defizite aufzeigen. So kritisiert er die Praxis von Apple, Apps kein wirklich sicheres Verfahren für den Datentransport zur Verfügung zu stellen. Doch viele Apps, wie etwa jene von Onlineläden, bräuchten ein solches Verfahren. In der Folge wird auf das für Webseiten gedachte SSL zugegriffen. Hier bekrittelt der Sicherheitsexperte, dass Apple nur bestimmte Verschlüsselungsverfahren (Ciphers) für SSL zulässt und diese vorgibt.
Umwege via URL
Auch eine weitere Unsicherheit entsteht durch die strikte Sandbox, in der die iOS-Apps laufen. Und zwar sei es nicht möglich, dass die Apps direkt untereinander kommunizieren könnten. Nach der Meinung van Sprundels ist dies zu strikt. Diverse Apps seien auf eine gewisse Kollaboration angewiesen. Als Notlösung würden die Entwickler den Austausch über sogenannte URL Handler abwickeln. Doch das ist laut van Sprundel nicht ungefährlich. «Jede Webseite, etwa auch eine mit Malware verseuchte, kann die URL ebenfalls aufrufen.»
Eine weitere Praxis der App-Entwickler, die van Sprundel als problematisch einstuft, ist die Verwendung des Browserfensters (über die Funktion UIWebView) für die eigene grafische Benutzerschnittstelle. Dadurch seien einerseits sogenannte Cross-Site-Attacken möglich. Doch anscheinend kann die Funktion mehr, als URL und HTML-Seiten auflösen. Wie van Sprundel betont, könnten so eine Reihe von Dateiformaten geparst werden, auch Word- und Excel-Dateien mit den entsprechenden Konsequenzen für die Security.



Kommentare
Es sind keine Kommentare vorhanden.