SSL-Verschlüsselung auch in iOS-Apps problematisch

Nicht nur bei Android-Apps – auch im iPhone-Universum erweisen sich die Datenverbindungen von Apps recht oft als angreifbar. Rund 14 Prozent der iOS-Apps, die SSL einsetzen konnte ein Forscherteam austricksen.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen
Lesezeit: 2 Min.

Mehr als zwei Drittel aller Android-Apps senden Daten unverschlüsselt und jeder vierte der verschlüsselnden Apps begeht dabei elementare Fehler, berichtete heise Security erst kürzlich. Eine andere Studie zeigt jetzt, dass die Sicherheit der verschlüsselten Verbindungen im iPhone-Universum nicht viel besser ist. Letztlich muss man den App-Entwicklern helfen, Internet-Verbindungen richtig zu sichern. Dazu gibt es verschiedene Tools und Konzepte.

Eine Forschergruppe der Leibniz Universität Hannover untersuchte 1009 populäre, kostenlose iOS-Apps. Dabei stellte sich heraus, dass von den 884 mit Netzwerk-Aktivitäten immerhin 697 Verschlüsselung via SSL einsetzten – also rund 78 Prozent. Das ist deutlich mehr als bei Android, wo 69 Prozent der Apps unverschlüsselt funkten. Allerdings begingen auch bei iOS 14 Prozent der Apps, die SSL einsetzten, elementare Fehler und waren somit anfällig für Man-In-The-Middle-Angriffe. So konnten die Forscher etwa eine Online-Banking-App mit sslstrip dazu bewegen, Informationen im Klartext von der Web-Seite der Bank zu holen. Damit fällt die Quote zumindest nicht grundsätzlich besser aus als bei Android mit 26 Prozent.

Zur Ursachenanalyse befragten die Forscher die Entwickler der betroffenen Apps. Einer der wichtigsten Gründe war der zumindest im Rahmen der Entwicklung gewünschte Einsatz von selbstsignierten Zertifikaten, der dazu führte, dass die Entwickler selbst Zertifikats-Checks in ihrer App außer Kraft setzten. Die Forscher schlagen deshalb vor, die Entwicklungsumgebungen besser auf die Bedürfnisse von App-Entwicklern anzupassen, um mehr Sicherheit zu erreichen. So könnte man zum Beispiel in einem System, das die Software-Entwickler-Option aktiviert hat, anbieten, für bestimmte Apps Zertifikats-Checks abzuschalten, ohne dass Änderungen am Code erforderlich sind. Darüber hinaus biete etwa SSL-Pinning, also das Festnageln eines bestimmten Zertifikats für einen bestimmten Server, oft sogar besseren Schutz als das herkömmliche, komplizierte CA-System.

In eine ähnliche Richtung geht übrigens das Fraunhofer Institut für Sichere Informationstechnologie, das gerade neue Werkzeuge für App-Entwickler zur Analyse des Quellcodes auf Sicherheitsprobleme unter anderem im Zusammenhang mit SSL vorstellt. (ju)