Login-Daten können ausgespäht werden

Populäre iOS-Apps: Experten schlagen Sicherheitsalarm

+
Apple-Chef Tim Cook zeigt neue Mobilgeräte: Jetzt haben Experten im iOS eine Sicherheitslücke entdeckt. 

Ein Sicherheitsforscher aus Hamburg hat nach einem Bericht von „Zeit Online“ in vielen populären Apps für das Apple-Betriebssystem iOS eine Sicherheitslücke entdeckt. Es geht um die Übertragung der Login-Daten.

Hamburg - In den Programmen sei es unter bestimmten Voraussetzungen möglich, die Login-Daten der Nutzer für den jeweiligen App-Service abzufangen, weil die Verschlüsselung der Daten fehlerhaft umgesetzt worden sei.

Nach Recherchen des Hamburger IT-Sicherheitsspezialisten Thomas Jansen wiesen von den 200 populärsten kostenlosen iOS-Apps 111 diese Lücke auf. Die Übertragung sensibler Daten wie Benutzername und Passwort werde nicht oder nur unzureichend durch eine verschlüsselte Übertragung abgesichert. Jansen testete nur Apps für iPhone und iPad, nicht für andere Mobilsysteme. Experten gehen allerdings davon aus, dass auch viele Android-Apps eine entsprechende Lücke aufweisen.

Die von Jansen beschriebene Attacke ist mit einem gewissen Aufwand verbunden. Der Angreifer muss die Kommunikation zwischen der App und dem Serviceanbieter zumindest beobachten können. Eine Attacke wäre auch möglich, wenn sich die Angreifer zu einem Teil des Netzwerks machen und den Datenverkehr umleiten. Das ist beispielsweise in öffentlichen Hotspots möglich.

Apple fordert Sicherheit, gibt Entwicklern aber Aufschub

Apple schreibt seinen App-Entwicklern seit Sommer 2016 vor, dass sie das sichere Protokoll HTTPS für die Übertragung der Nutzerdaten verwenden müssen. Bei der Umsetzung der Vorgabe habe der iPhone-Hersteller den Entwicklern im Dezember 2016 aber einen Aufschub für die Umsetzung gegeben, der immer noch gelte.

Linus Neumann, einer der Sprecher des Chaos Computer Clubs (CCC), hat die Analyse von Sicherheitsforscher Jansen an einer der 111 betroffenen Apps exemplarisch nachvollzogen und bestätigt. „Für die Übertragung von Zugangsdaten im Klartext - also unverschlüsselt - gibt es heutzutage keine Entschuldigung mehr“, sagte Neumann „Zeit Online“.

Lesen Sie auch: Apple schließt mit iOS 11.1 einige Sicherheitslücken

Mehr zum Thema

Das könnte Sie auch interessieren

Meistgelesene Artikel

Ungewollte Sprachnachrichten bei Alexa verhindern

Was in den eigenen vier Wänden gesprochen wird, ist nicht unbedingt für fremde Ohren bestimmt. Doch einem Paar in den USA verschaffte Alexa nun unerwünschte Mithörer. …
Ungewollte Sprachnachrichten bei Alexa verhindern

App-Charts: Fotos retuschieren und Musik hören

Von Entspannung bis Ästhetik - iOS-Apps machen vieles möglich. Derzeit greifen Nutzer gern auf ein Fotobearbeitungsprogramm und ein Musikstreaming-Dienst zurück. Beliebt …
App-Charts: Fotos retuschieren und Musik hören

Office für Mac verschickt Diagnose-Daten

Kürzlich führte Microsoft ein Update seiner Office-Software durch. Mac-Nutzer müssen nun zustimmen, dass Diagnose-Daten an den Hersteller übertragen werden - ohne die …
Office für Mac verschickt Diagnose-Daten

DSGVO: Ende der Fotografie oder halb so schlimm?

Welche Folgen hat die Datenschutzgrundverordnung DSGVO für Fotografen? Steht die Fotografie, wie wir sie kennen, vor dem Aus? Unter Rechtsexperten läuft eine hitzige …
DSGVO: Ende der Fotografie oder halb so schlimm?

Kommentare

Ab dem 25.5.2018 gilt die Datenschutzgrundverordnung. Dazu haben wir unser Kommentarsystem geändert. Um kommentieren zu können, müssen Sie sich bei unserem Dienstleister DISQUS anmelden. Sollten Sie zuvor bereits ein Profil bei DISQUS angelegt haben, können Sie dieses weiter verwenden. Nutzer, die sich über den alten Portal-Login angemeldet haben, müssen sich bitte einmalig direkt bei DISQUS neu anmelden.

Hinweise für das Kommentieren

Von Mo. bis Fr. in der Zeit von 18 bis 9 Uhr und am Wochenende werden keine neuen Kommentare freigeschaltet.
Bitte bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht.