TLS-Problem: Mehrere Dutzend iOS-Apps weiter anfällig

Der iOS-Sicherheitsexperte Will Strafach vom Dienst verify.ly hat eine Liste von Apps veröffentlicht, die weiterhin für einen Man-in-the-middle-Angriff auf ihre TLS-Verschlüsselung anfällig sein sollen. So lassen sich schlimmstenfalls Passwörter und andere sensible Daten abfangen, wenn der Angreifer in einer privilegierten Netzwerkposition, sprich: im gleichen Netz, sitzt.

Information kam im Februar

Strafach hatte vor drei Monaten erstmals auf das Problem hingewiesen, sich mit der Veröffentlichung der Namen von Apps, über die besonders problematische Daten abfließen könnten, jedoch zurückgehalten. Nun nennt er verschiedene Banking- und Versicherungsanwendungen, die weiterhin betroffen sein sollen.

In der Atlassian-App HipChat wurde das Problem mittlerweile ebenso behoben wie im beliebten PDF-Programm Foxit. Der Fehler steckt noch in mindestens einem Social-Networking-Werkzeug, einer Diabetes-App und sogar angeblich in einem Web-Browser. Zuvor hatte Strafach die Lücke auch in einer Wahl-App sowie weiteren Banking-Apps gefunden.

Analytics, Account-Daten und mehr

Die Daten, die gefährdet sind, fallen jeweils unterschiedlich aus. Manchmal betrifft der Fehler "nur" Analytics-Informationen, mehrere Male aber auch Passwörter und andere Account-Daten. Insgesamt sollen mehrere Dutzend iOS-Apps, die Strafach untersucht hat, trotz seines Hinweises im Februar weiterhin angreifbar sein.

Strafach zufolge lässt sich der jeweilige Man-in-the-Middle-Angriff über einen Netzwerkproxy mit eigenem SSL-Zertifikat umsetzen. Es fehlt ein Certificate Pinning, zudem prüfen die betroffenen Apps das Zertifikat nicht korrekt auf Richtigkeit. Etwas neues sind solche Probleme allgemein nicht – sie treten auch häufiger in anderen Ökosystemen wie Android auf. (bsc)