1. November 2017

Roman van Genabith

App Store voller unsicherer Gratis-Apps: Apple setzt eigene Vorgaben nur zögerlich um

Viele beliebte Apps im App Store weisen gravierende Sicherheitslücken auf: Oft werden etwa Logindaten nicht verschlüsselt übertragen. In Kombination mit einer unausrottbaren Unsitte vieler Internetnutzer kann daraus ein erhebliches Sicherheitsproblem entstehen.

Zahlreiche Apps, die im App Store populär sind, weisen auch heute noch gravierende Sicherheitsdefizite auf, darauf wies der Hamburger Sicherheitsforscher Thomas Jansen hin. Es mangelt häufig an verschlüsselten Übertragungen von Anmeldeinformationen oder an der korrekten Implementierung von Sicherheitsmechanismen. Jansen, der zuvor acht Jahre bei Apple in Kalifornien gearbeitet hat, hat die 200 beliebtesten Gratis-Apps im deutschen App Store unter die Lupe genommen. In 111 von ihnen stieß er auf teils erhebliche Sicherheitsmängel.

Durch eine Man-in-the-Middle-Attacke können Angreifer so häufig an Logininformationen gelangen, die eine App mit ihrem Server austauscht. In einigen Fällen ist zwar eine Verschlüsselung vorhanden, die Korrektheit eines genutzten HTTPS-Zertifikats wird aber nicht geprüft.

Apple setzt HTTPS-Verpflichtung nicht durch

Apples App Store-Reviewprozess ist streng und oft genug verlangt Cupertino der Entwicklergemeinde einiges ab. So zwang der harte Wechsel zu 64-Bit-Apps Entwickler umgehend ihre Apps anzupassen, um nicht aus dem App Store zu fliegen. Diese „Friss oder stirb“-Politik wendet Apple bei der verschlüsselten Übertragung von Nutzerdaten aber nicht an, obwohl es das ursprünglich angekündigt hatte. Apps sollten bis Ende 2016 sämtlich auf HTTPS-basierte Übertragungen kritischer Daten setzen, App Transport Security nennt Apple die Implementierung davon.

Schlüssel - Symbolbild
Verschlüsselung – Symbolbild

Doch dann setzte das Unternehmen diese Frist wieder aus und erklärte, man wolle den Entwicklern mehr Zeit für die Umstellung geben, mithin eine selten gewährte Gnade Cupertinos und womöglich hier auch an der falschen Stelle eingeräumt. Denn heute ist noch immer kein definitives Datum für das Ende ungesicherter Übertragungen genannt, auch wenn App-Entwickler nun begründen müssen, warum eine App nicht HTTPS einsetzt. Das scheint indes recht oft von Apple akzeptiert zu werden, wie die Forschung von Thomas Jansen zeigt. Brisant wird das Abfangen von Nutzerdaten auch in kleinen windigen Apps dadurch, dass noch immer viele Nutzer ein- und das selbe Passwort für zahlreiche Apps benutzen. So gerät etwa das Passwort für Paypal-Accounts oder Apple-IDs immer wieder in die Hände von Kriminellen.

Weitere Artikel

iPhone X: TrueDepth-Kamera bietet mehr als nur Face ID

IKEA TRÅDFRI kann jetzt HomeKit und Alexa (diesmal wirklich!)

11 Gedanken zu „App Store voller unsicherer Gratis-Apps: Apple setzt eigene Vorgaben nur zögerlich um“

  1. Man sollte die Namen der unsicheren Apps veröffentlich + Cupertino unter Druck setzen, schließlich tönt Apple bzgl Sicherheit laut und stark ……
  2. Ganz deiner Meinung…Es ist unverantwortlich für den Nutzer, welcher sich in Sicherheit wiegt, das Defizit im guten Glauben Apple schützt den Store zu verwenden. Wenn ich wüsste, welche das sind, würden diese einen Flugschein bekommen… Und 👋….
  3. 1. (Gravierende) Sicherheitslücken in Apps können auch ohne Zutun der User zu erheblichen Sicherheitsproblemen führen. 2. Soweit ich mitbekommen habe, wendet Apple die „Friss oder stirb-Politik“ -zumindest vorwiegend, wenn nicht sogar ausschließlich- bei Apps/Appentwicklern an, welche Apple selber nicht in den Kram passen: so z. B. bei der App „AdBlock for iOS“, deren Autoren von Apple genötigt wurden, das VPN-basierte adblocking aus der App zu entfernen, um nicht aus dem AppStore zu fliegen. P F U I, Apple!!! 😡👎
      • Danke für die Info. Und wenn ich hier auf der Homepage meine Mailadresse für die Kommentare angebe, wird diese dann nur per http übertragen?
      • Nur für mein Verständnis. Das heißt, wenn ich die Apfelpage App nutze und meine Mailadresse für Kommentare angebe, dann findet der Austausch mit dem Server im Klartext statt und jeder, der den Datenstream mitließt, kommt an meine Daten?
      • @Matze Nicht ganz. Wenn du die App verwendest, ist die Übertragung verschlüsselt von deinem Gerät in besagte Cloud (und von da unverschlüsselt zu unserem Server). Wenn du die Webseite verwendest, ist der Traffic unverschlüsselt. Allerdings erscheint der Kommentar öffentlich, d.h. bis auf die E-Mail-Adresse ist ohnehin alles sichtbar, selbst wenn niemand die Daten mitgeschnitten hat. Aber ja, wenn es dir darum geht, dass die E-Mail-Adresse verschlüsselt übertragen wird, solltest du via App kommentieren.

Die Kommentare sind geschlossen.