Sky: iPad-App übertrug Zugangsdaten unverschlüsselt
Wer den Netzwerkverkehr etwa an einem öffentlichen Hotspot belauschte, fand darin unter Umständen die Sky-Kundennummer und PIN, die die gerade veröffentlichte Streaming-App fürs iPad unverschlüsselt an den Server geschickt hatte.
- Ronald Eikenberg
Die am vergangenen Freitag veröffentlichte iPad-App des Pay-TV-Anbieters Sky hat die Zugangsdaten seiner Nutzer unverschlüsselt an den Server übermittelt, wie Sven Neuhaus, App-Entwickler bei Evision, beim Testen eigener Anwendungen zufällig entdeckt hat.
Da die App die Login-Informationen im Klartext übertrug, konnte ein Angreifer, der sich im gleichen WLAN befand, die vertraulichen Informationen einfach mitschneiden. Diese Situation ist insbesondere an öffentlichen Hotspots oft gegeben. Sollte der potenzielle Angreifer seinen WM-Hunger auf fremde Kosten stillen, wäre das noch das kleinste Übel für das Opfer: Interessanter dürften die vertraulichen Kundendaten samt Anschrift und Bankverbindung sein, die das Sky-Kundencenter nach dem Login freimütig präsentiert.
Auf Grund des Hinweises von heise Security hat Sky die Login-Prozedur überarbeitet, was den Passwortklau zumindest erschwert; nach Angaben der Firma wurde der Fix bereits Freitag abend aktiviert. Das Login-Formular nutzt nun eine gesicherte HTTPS-Verbindung zur Übertragung der eingegebenen Daten. Hängt man trotzdem einen Proxy mit eigenem Zertifikat dazwischen, stürzt die App ab. Die Seite mit der URL für den Login-Vorgang ist allerdings nach wie vor unverschlüsselt. Das bedeutet, dass ein Angreifer sich über einen Man-in-the-Middle-Angriff nach wie vor Zugriff auf die Informationen verschaffen könnte, indem er die HTTPS-URL durch eine unverschlüsselte HTTP-URL ersetzt. Nur wenn der gesamte Login-Vorgang verschlüsselt abläuft, kann ein Angreifer keine unbemerkten Manipulationen vornehmen.
Der Boom internetfähiger Mobilgeräte lässt viele Anwender unbeschwert mit ihren Daten umgehen. Dabei sind die sensiblen Informationen hinter schick animierten Multitouch-Bedienoberflächen mindestens genauso in Gefahr, wie auf dem heimischen Rechner – besonders in Verbindung mit WLAN-Hotspots, die meist sogar unverschlüsselt betrieben werden. Ist das Smartphone beispielsweise für den EMail-Empfang konfiguriert, posaunt es die Zugangsdaten an einem Hotspot in regelmäßigen Intervallen im Klartext in die Welt hinaus, wenn die SSL-Übertragung nicht aktiviert ist. Auch die zahlreichen Apps sollte man in puncto Datensicherheit kritisch beäugen, ehe man sie mit sensiblen Informationen füttert.
Siehe dazu auch:
- Black Hat: Neue Angriffsmethoden auf SSL vorgestellt auf heise Security
- Die Fußball-WM live am Arbeitsplatz auf heise online
(rei)
