TLS-Problem: Verschiedene iOS-Apps für Man-in-the-Middle-Angriffe anfällig
Einem Sicherheitsforscher zufolge implementieren Programme wie die App von Vice News oder der Huawei-HiLink-Client das Verschlüsselungsprotokoll nicht korrekt, sodass Datenverkehr abgegriffen werden kann.
Käufer mit iPhones.
(Bild: dpa, Peter Kneffel)
Der iPhone-Hacker und Sicherheitsexperte Will Strafach, auch unter dem Handle @chronic bekannt, hat im Rahmen einer Analyse durch seine eigene Sicherheitsfirma Sudo Security Group mindestens 76 iOS-Programme entdeckt, deren TLS/HTTPS-Unterstützung für Man-in-the-Middle-Angriffe, also das Abgreifen verschlüsselter Daten in privilegierter Netzwerkposition, sprich im gleichen Netz, anfällig sein sollen.
Angriff aus privilegierter Position
Strafach verkauft mit verify.ly selbst einen Dienst, mit dem App-Anbieter ihre Programme auf verschiedene Angriffsflächen hin testen können. Unter den gelisteten Apps sind keine wirklich bekannten Namen, laut Apptopia-Schätzungen sollen sie aber mindestens 18 Millionen Mal heruntergeladen worden sein.
Bei 33 der 76 Apps ist das Risiko relativ gering, weil die übertragenen Daten nur teilweise problematisch sind, also etwa keine Passwörter umfassen. In immerhin 24 Fällen wurden Sitzungstoken beziehungsweise Logindaten übertragen, in 19 Fällen "sensible" Informationen, die auch Finanz- und Medizindaten umfassen können.
Analytics-Leaks bis Passwörter
Auf Strafachs Liste stehen unter anderem die Tencent Cloud-App, die Analytics-Daten leaken kann, der Uploader for Snapchat beziehungsweise die auf dem gleichen Code basierende Konkurrenz namens Snap Upload (Nutzername und Passwort), die Vice News-App (First-Party-API-Calls, Geräte- und Betriebssystemversion) sowie das Hotspot-Verwaltungswerkzeug Huawei HiLink (Betriebssystemversion und Gerätemodell).
Auf der Liste stehen außerdem verschiedene VPN-Programme, ein Browser und Programme mehrerer Finanzinstitutionen. Besonders schwer betroffene Apps wurden nicht kommuniziert, hier will Sudo Security warten, bis sie gefixt sind.
Kein Pinning umgesetzt
Strafach zufolge lässt sich der jeweilige Man-in-the-Middle-Angriff über einen Netzwerkproxy mit eigenem SSL-Zertifikat umsetzen, wobei die Apps sich letzteres unterschieben lassen, ohne die Verbindung zu unterbrechen. Grund für die Angreifbarkeit sollen jeweils fehlerhafte TLS-Implementierungen sein, ein Certificate Pinning erfolgt nicht.
Neu sind solche und ähnliche Sicherheitsprobleme nicht. Sie treten auch regelmäßig bei Android-Apps auf. Apple versucht derzeit, Apps grundsätzlich auf sicherere Protokolle umzustellen, verschob aber zuletzt eine Deadline. Zudem bleiben auch damit App-Entwickler für die Implementierung verantwortlich. (bsc)
