Dutzende bekannte iOS-Apps mit löchriger Datensicherheit Dutzende bekannte iOS-Apps mit löchriger Datensicherheit - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.02.2017 *Simon Gröflin

Dutzende bekannte iOS-Apps mit löchriger Datensicherheit

Das Sicherheitsteam der Sudo Security Group ist auf Hunderte iOS-Apps gestossen, bei denen die Verschlüsselung der App-Daten potenziell unsicher ist.

Bei hunderten iOS-Apps dürfte die Verschlüsselung der App-Daten potenziell unsicher sein.

Bei hunderten iOS-Apps dürfte die Verschlüsselung der App-Daten potenziell unsicher sein.

© PC-TIPP

Das Mobile-Team der Sudo Security Group ist bei einer Stichprobe im App-Store auf Hunderte iOS-Apps gestossen, bei denen die Transportverschlüsselung gefährdet ist. Der Tech-Blog Ars Technica konnte die fehlerhafte TLS-Verschlüsselung bei 76 bekannten Apps verifizieren.

Die Anwendungen sollen inzwischen schon mehr als 18 Millionen Mal aus Apples Software-Laden heruntergeladen worden sein. Bei einigen der betroffenen Apps erfolge zwar der Datenverkehr über eine verschlüsselte Transportverbindung (TLS), jedoch ohne die Gültigkeit des Zertifikats zu überprüfen.

Der Schweregrad variiere jedoch von Fall zu Fall. Bei 33 Anwendungen war das Sicherheitsrisiko laut Sudo relativ gering, weil meist analytische Metadaten abschöpfbar wären. In diese Kategorie fiel seine Serie an Drittanbieter-Uploader-Apps für Snapchat, die das Tor öffnen, um Nutzernamen und Passwörter abzufangen. Bei 19 Apps, die wegen Blosslegung von Gesundheits- und Finanzdaten ein grösseres Sicherheitsrisiko darstellen, will der Sicherheitsanbieter den Bericht erst in 60 Tagen veröffentlichen.

Wie sich iPhone-Nutzer schützen können

Das Problem: Erfolgt kein TLS-Gültigkeitscheck, wird ein sogenannter Man-in-the-Middle-Angriff möglich. Das ist besonders dann brisant, wenn der Anwender sich in einem unsicheren, öffentlichen WLAN befindet. Über eine Mobilfunkverbindung wäre ein theoretisches Abfangen von heiklen Daten ebenfalls möglich, aber mit einem wesentlich höheren Aufwand verbunden (z.B. über einen sogenannten IMSI Catcher).

Es gibt bis jetzt keinen Fix von Apple. Der wäre wahrscheinlich auch nicht so leicht möglich. Apple prüfe beim Einstellen neuer Apps nur, ob TLS aktiv ist, nicht aber die Konfiguration. Die App-Entwickler sollten jedoch in der Lage sein, die betroffenen Apps mit ein paar wenigen Zeilen Code abzudichten, wie Will Strafach von Sudo Labs von PCWorld zitiert wird.

Solange nichts näher bekannt ist, empfiehlt es sich, unsichere WLANs zu meiden oder besser auf die mobile Datenverbindung auszuweichen. Eine Alternative zu einem öffentlichen WLAN: Nutzen Sie eine sichere Verbindung über einen eigenen VPN-Server.

*Der Autor Simon Gröflin ist Redakteur von PC-Tipp.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr

Hosted by:    Security Monitoring by: