10.11.2017 Login-Daten bei vielen iPhone-Apps gefährdet

Symbolbild

Mehr als die Hälfte aller iPhone-Apps schützt einer Untersuchung nach die verwendeten Zugangsdaten ungenügend. Eine sichere Verschlüsselung kann nur optional vorgenommen werden.

Wie eine kürzlich vorgenommene Analyse eines Hamburger Sicherheitsspezialisten aufdeckte, wird die Übertragung von wichtigen Daten wie Benutzername und Passwort in vielen populären Apple-Apps nur unzureichend oder gar nicht gesichert: 111 der 200 getesteten kostenlosen iOS-Apps wiesen diese Schwachstelle auf. Um an die Daten zu kommen,  muss der Angreifer die Kommunikation zwischen App und Serviceanbieter nur einsehen können, wie es beispielsweise bei unverschlüsselten Verbindungen in öffentlichen Hotspots möglich ist. Eine weitere Möglichkeit bietet dem potenziellen Eindringling, sich in das Netzwerk einzuwählen und den Datenverkehr zu verlegen.

Das Problem dahinter ist die Tatsache, dass bis heute kein Zwang für iOS-App-Entwickler zur sicheren Verschlüsselung besteht. Diese kann bis jetzt nur optional vorgenommen werden: Die von Apple mit iOS 9 und OS X 10.11 El Capitan eingeführte Technik “App Transport Security” soll für eine gesicherte Standardkonfiguration sorgen und die unabsichtliche Freigabe von Daten unterbinden. Dazu müssen die Apps angeben, mit welchen Domains sie kommunizieren wollen. Apple setzt für HTTPS-Verbindungen nun TLS v1.2, AES-128 und SHA-2 zur Verschlüsselung sowie Forward Secrecy voraus: Dieses soll verhindern, eine bereits abgeschlossene, verschlüsselte Kommunikation zu einem späteren Zeitpunkt mit Kenntnis des geheimen Codes entschlüsseln zu können. Da der Einsatz dieser Technik bis jetzt aber rein optional ist, dürfte sie nur in wenigen Fällen angewendet werden.

Weitere Informationen

Datum der Veröffentlichung: 10.11.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria