Ungesicherte Einsichten
Nur Smartphone-Apps mit ordentlicher Verschlüsselung bieten Schutz vor unerwünschten Mitlauschern. Wir haben den beliebtesten Anwendungen für Android und iPhone auf den Zahn gefühlt.
- Christiane Rütten
Im Smartphone-Zeitalter müssen Angreifer nicht mehr in gut gesicherte Netzwerke einbrechen, um wichtige Daten abzuhören. Nun sind es die Nutzer, die ihre Mobiltelefone in fremde Netze tragen. Umso wichtiger ist es, dass die Apps eine ordentliche Verschlüsselung bieten. Wir haben den beliebtesten Anwendungen für Android und iPhone auf den Zahn gefühlt.
Kontakte, E-Mails, Kurznachrichten und Zugangsdaten zu Banking- und Online-Shopping-Portalen machen die Datenübertragungen von Smartphones zu einem attraktiven Angriffsziel. In einem offenen WLAN genügt ein simpler Netzwerksniffer wie tcpdump oder Wireshark, um beispielsweise unverschlüsselte Passwörter unbemerkt abzufischen. Verschlüsselte WLANs bieten zwar einen gewissen Schutz gegen passives Mitlauschen, trotzdem kann ein Netzwerkteilnehmer einen Man-in-the-Middle-Angriff (MITM) durchführen und die Verbindung anderer WLAN-Clients über den eigenen Rechner umleiten.
Die Hauptschwachstelle ist zwar derzeit das WLAN, doch es wäre kurzsichtig, sich mit GSM, UMTS oder HSDPA in Sicherheit zu wiegen. IMSI-Catcher waren lange Zeit Strafverfolgungsbehörden vorbehalten, doch jüngste Fortschritte in der Entwicklung hausgemachter Basisstationen machen deutlich, dass künftig jedermann für kleines Geld den Mobilfunkdatenverkehr über eine Schnüffelstelle umleiten kann.
Vor solchen Tricks schützt nur eine Verbindungsverschlüsselung, für die üblicherweise das Protokoll Secure Socket Layer (SSL) beziehungsweise die neuere Version namens Transport Layer Security (TLS) – nachfolgend einfach SSL genannt – verwendet wird. Für eine SSL-Verbindung schickt der Server dem Client ein Zertifikat, das von einer anerkannten Zertifizierungsstelle digital signiert wurde. Anhand einer Liste von vertrauenswürdigen Herausgeberzertifikaten kann eine App sicherstellen, mit dem richtigen Server zu sprechen und nicht mit einem Mittelsmann. Derart geschützte Daten lassen sich nicht passiv mitlesen und auch ein MITM-Angriff fällt durch ein ungültiges Zertifikat auf. Allerdings ist es die Aufgabe der App beziehungsweise des Smartphone-Betriebssystems, die Zertifikate zu prüfen, was in unseren Tests nicht immer funktionierte.
In der Regel gilt für Smartphone-Apps das Black-Box-Prinzip: Ob sie die übertragenen Daten zuverlässig vor ungebetenen Lauschern schützen, ist für Laien gar nicht und selbst für Profis nur mit erheblichem Aufwand erkennbar. Wir haben daher eine repräsentative Auswahl von beliebten Android- und iPhone-Anwendungen unter die Krypto-Lupe genommen und sie mit gängigen Angriffstechniken malträtiert.
