Unsichere Verbindung: Viele iPhone-Apps schalten Apples Sicherheitstechnik ab
Apple App Transport Security erzwingt verschlüsselte Verbindungen. Zwei Drittel aller Apps deaktivieren dies offenbar – etwa für Werbung und Tracking.
Schlecht abgesicherte Apps können es Angreifern ermöglichen, persönliche Daten von Nutzern abzugreifen.
(Bild: dpa, Jeff Chiu)
- Leo Becker
Zwei von drei iOS-Apps haben Apples Sicherheitstechnik App Transport Security (ATS) komplett deaktiviert, wie die Analyse einer Sicherheitsfirma ergab. App Transport Security soll eine Verschlüsselung des Netzwerkverkehrs sicherstellen und ist standardmäßig aktiv – Apps müssen dies gezielt abschalten und den Schritt gegenüber Apple begründen.
Werbefirmen empfehlen ATS-Deaktivierung
In vielen Fällen dürfte die Deaktivierung von ATS für die Einbindung von Werbung und Tracking-Tools erfolgen, wie die Sicherheitsfirma Wandera ausführt, die über 30.000 häufig genutzte Apps auf die Verwendung der Sicherheitsfunktion geprüft hat. Große Werbeanbieter wie etwa Google Admob empfehlen Entwicklern, ATS einfach abzuschalten, um die Auslieferung von Werbebannern nicht zu behindern. Bei kostenpflichtigen Apps liege die Abschaltung von ATS deutlich niedriger, hier sei zumindest bei knapp der Hälfte der geprüften Apps die Sicherheitsfunktion aktiv, heißt es in der Analyse.
App-Anbieter müssen keine sonderlich tiefgreifende Begründung für den Schritt gegenüber Apple abliefern, merken die Sicherheitsforscher an – entsprechend leicht sei es, auf die Funktion zu verzichten.
Apple wollte HTTPS-Zwang – schob Einführung aber auf
Apple hatte ursprünglich geplant App Transport Security Ende 2016 zur Pflicht für alle Apps zu machen, um das Problem ungesicherter Verbindungen auszuräumen. Diese Frist wurde kurz vor der Deadline aber auf unbestimmte Zeit verlängert, um Entwicklern mehr Zeit für die Umstellung einzuräumen. Apple hat auch verschiedene Ausnahmeregelungen vorgesehen. Gerade für Apps wie Podcasts-Clients und Feedreader, die mit vielen verschiedenen Servern kommunizieren ist die Integration schwierig.
Die schon vor mehreren Jahren mit iOS 9 eingeführte ATS-Technik soll eine abgesicherte Standardkonfiguration sicherstellen, um ein Mitlesen durch Dritte bei der Datenübermittlung von iPhone, iPad und Mac zu verhindern. Apple setzt für HTTPS-Verbindungen TLS v1.2, AES-128 oder AES-256 und SHA-2 zur Verschlüsselung sowie Forward Secrecy voraus. Das soll verhindern, dass bereits abgeschlossene, verschlüsselte Datenübertragung zu einem späteren Zeitpunkt mit Kenntnis des geheimen Schlüssels geknackt wird.
Das Deaktivieren von ATS bedeutet nicht zwangsläufig, dass Apps ihren Netzwerkverkehr komplett unverschlüsselt abwickeln, doch seien Fehler und Pannen wahrscheinlicher, so Wandera. Die offene Frage sei, wann Apple den eigentlich seit gut zwei Jahren geplanten ATS-Zwang doch noch umsetzt, um "schlampige Entwicklung" zu unterbinden. Auch Anbieter von Webdiensten müssen handeln und HTTPS unterstützen, merkt die Sicherheitsfirma an. (lbe)
