iPhone: Populäre Apps gefährden ihre Nutzer

Ein Hamburger IT-Spezialist hat in 111 der 200 beliebtesten iOS-Apps Schwachstellen gefunden. Ihre Entwickler umgehen Apples Richtlinien und das Unternehmen lässt es zu.

Shein ist schick.
Die Shopping-App fürs iPhone, spezialisiert auf Damenmode, wird auch
überwiegend gut bewertet und gehört zu den beliebtesten Anwendungen
im deutschen App Store. Aber der Einkauf über die App ist nicht ganz
risikolos. Thomas Jansen, ein Hamburger IT-Sicherheitsspezialist, hat
eine Sicherheitslücke entdeckt, die es Angreifern erlaubt, die
Log-in-Daten der Nutzer abzufangen.

Um genauer zu sein:
Er hat diese und ganz ähnliche Lücken in mehr als der Hälfte der
200 in Deutschland beliebtesten kostenlosen iOS-Apps (Stand: Ende
September) gefunden. In 111, um genau zu sein.

Jansen ist
promovierter Informatiker, hat acht Jahre lang bei Apple in den USA
gearbeitet und ist heute Geschäftsführer der auf
Softwareentwicklung und Informationssicherheit spezialisierten
Firma Crissy Field. Er zeigt nicht
als Erster, aber anhand vieler aktueller Beispiele, dass auch in
offiziellen App Stores keineswegs nur unbedenkliche Anwendungen
angeboten werden. Und dass Apples obligatorische Überprüfung vor
der Freigabe einer Anwendung keine Garantie für Sicherheit ist.

Beispielhaft zeigt
Jansen das an Shein, aus dem App Store heruntergeladen am 26. Oktober 2017. Im folgenden Video ist zu sehen, dass er auf seinem Laptop sehen kann, welcher Benutzername und welches Passwort in der App eingegeben werden:

Das Grundproblem ist
in allen betroffenen Apps gleich. Ihre Entwickler sichern die
Übertragung sensibler Daten wie Benutzernamen und Passwort nicht
oder nur unzureichend durch eine verschlüsselte Übertragung ab. Was
auf Websites mittlerweile selbstverständlich sein sollte, ist in
mobilen Anwendungen alles andere als der Normalfall.

Shein ist nicht
einmal das krasseste Beispiel, immerhin werden die Log-in-Daten der
Nutzer durchaus über einen verschlüsselten Kanal übertragen. Nur
überprüft die App nicht, ob das für die Verschlüsselung nötige
Zertifikat vom richtigen Server kommt. Die Authentifizierung findet
schlicht nicht statt. Ein Angreifer kann der App daher ein beliebiges
Zertifikat unterjubeln, die übertragenen Daten entschlüsseln und
später selbst damit einkaufen. Oder versuchen, sich mit den
Zugangsdaten in anderen beliebten Diensten anzumelden – viele
Menschen verwenden ihre Passwörter schließlich mehrfach.

Nutzer von Shein
oder den anderen betroffenen Apps sind allerdings nicht ohne Weiteres
hackbar. Jede Attacke wäre gezielt und mit einem gewissen Aufwand
verbunden. Ein Täter muss die Kommunikation zwischen App und ihrem
Anbieter, beziehungsweise dessen Server, mindestens beobachten
können. Oder er muss sich, wie im Video oben, zu einem Teil des Netzwerks machen und den
Datenverkehr über sein eigenes Gerät umleiten. Am einfachsten geht
das, wenn er mit dem gleichen WLAN verbunden ist wie das iPhone oder
iPad, zum Beispiel in einem Café. Für beide Varianten dieses
sogenannten Man-in-the-middle-Angriffs gibt es kostenlose Software
und günstige Hardware. Aber auch Arbeitgeber, die ihr Firmennetzwerk kontrollieren, wären technisch dazu in der Lage, solche Überwachungsaktionen durchzuführen. Ebenso wie Internetanbieter, die je nach Gesetzeslage von Strafverfolgern dazu gezwungen werden könnten.

Apple wollte genau
diese Szenarien eigentlich verhindern, als es 2016 auf seiner
Entwicklerkonferenz ankündigte,
dass Apps ab Ende des Jahres HTTPS für die Übertragung von
Nutzerdaten verwenden müssen. ATS nennt Apple das bereits 2015
eingeführte Feature – App Transport Security. Sauber
implementiert, würde es Angriffe wie die von Jansen demonstrierten
unmöglich machen. Nutzer sollen dank ATS darauf vertrauen können,
schreibt Apple in seiner offiziellen Entwickler-Dokumentation, dass
ihre Apps beim Senden von Daten diese nicht versehentlich an
Unbefugte verraten.

Doch im Dezember
vergangenen Jahres veröffentlichte das Unternehmen eine Mitteilung
an Entwickler, in der es einen Aufschub für die Implementierung
von ATS gewährte: “Um Ihnen mehr Zeit für die Vorbereitung zu
geben, haben wir die Frist verlängert und wir werden uns mit einem
Update melden, sobald es eine neue gibt.” Das ist bis heute, fast ein Jahr später, nicht
passiert.