Ungesicherte Einsichten
Seite 4: iPhone
iPhone
iPhones sind über TCP-Port 62078 für iPhone-Sync und UDP-Port 5353 für Zeroconf/Bonjour aus dem Netzwerk erreichbar. Eine Sicherheitslücke in einem der Dienste kann unter Umständen fatale Auswirkungen für die iPhone-Nutzerschaft haben, aber wer regelmäßig die Firmware-Updates einspielt, sollte auf der sicheren Seite sein. Alle getesteten iPhone-Apps verschlüsseln ihre Logins ordentlich. Passwörter konnten wir per MITM-Angriff lediglich von einem offensichtlich unsicher konfigurierten E-Mail-Zugang abgreifen. Die App-Spreu vom App-Weizen trennte sich lediglich bei der Verschlüsselung der Nutzdaten.
Von den iOS-Systemdiensten verschickte nur iBooks, über das intern auch der AppStore abgewickelt wird, einen Teil der Daten im Klartext – aber nichts Bedenkliches. Der iPhone-Push-Dienst, den eine Reihe von Anwendungen für asynchrone Nutzerbenachrichtigungen nutzen, verschlüsselte stets komplett.
Der Browser Safari bietet Nutzern die Möglichkeit, Herausgeberzertifikate systemweit zu installieren. Klickt man auf einer Webseite auf eine korrekt ausgezeichnete Zertifikatsdatei, öffnet sich ein Dialog für den Import, der gegebenenfalls nach der Geräte-PIN verlangt. Nach dem Import tauchen die neuen Zertifikate unter Einstellungen / Allgemein / Profile auf. Derart eingerichtete Herausgeberzertifikate gelten fortan auch für die meisten anderen Programme, etwa die E-Mail-App, als vertrauenswürdig.
Der einzige Mailer für das iPhone ist MobileMail. Er liefert ein gutes Beispiel für durchdachte Nutzerführung, denn wenn die verwendeten Mail-Server ordentliche Verschlüsselung bieten, ist es kaum möglich, das Konto unsicher einzurichten. Beim Anlegen eines neuen Kontos hat der Anwender gar nicht erst die Wahl, eine unverschlüsselte Verbindung zu verwenden. MobileMail versucht es immer zuerst mit SSL / TLS, und nur wenn das fehlschlägt, bietet es dem Nutzer nach einer Warnung die unverschlüsselte Übertragung an. Eine Möglichkeit, die wichtigen Zertifikatschecks zu umgehen, ist sinnvollerweise gar nicht erst vorgesehen. Selbstsignierte Zertifikate muss man vor der Kontoeinrichtung etwa über Safari installieren.
Für Instant-Messaging bietet sich auf dem iPhone der Client für den Web-Dienst Meebo an, der diverse Protokolle unterstützt. Wie unter Android wandern alle wichtigen Daten über eine verschlüsselte Verbindung zu den Meebo-Servern, die für die Logins die Passwörter speichern müssen. Allerdings konnten wir bei Meebo für iOS auch unverschlüsselte Daten beobachten – immerhin nur unwichtige.
Die offizielle Facebook-App überträgt ihre Daten im Klartext – ärgerlich, wenn man anderen WLAN-Benutzern damit sein soziales Netzwerk und seine Nachrichten offenlegt. Die Anwendung für Xing ist da etwas vorsichtiger. Bei ihr konnten wir lediglich vergleichsweise unwichtige Bilddaten im Klartext abfangen.
Der offizielle Twitter-Client ist durchweg sicher und kommuniziert ausschließlich verschlüsselt mit den Servern des Mikroblogging-Dienstes. Bei Echofon hingegen ist die Datenverschlüsselung optional und per Default ausgestellt. Die Option befindet sich unter Menu / Settings / Use SSL. Der Settings-Knopf ist leicht zu übersehen links unten im Menü platziert.
Im Banking- und Shopping-Bereich haben wir S-Banking und iOutBank untersucht. Beide übertragen die Daten sicher. Die PayPal-App ist sicher bis auf denselben Fehler wie unter Android: Sie verschickt bei Verwendung des Bump-Features die als Kontonummer dienenden E-Mail-Adressen im Klartext. Die offizielle eBay App hingegen verzichtet auf Datenverschlüsselung, sodass Lauscher etwa Suchanfragen und Auktionsinhalte abhören können.
Die Notizbuchanwendung Evernote und die Dateisynchronierungs-App Dropbox sind auch auf dem iPhone nicht sicherer als unter Android: Die Logins sind verschlüsselt, aber unseren Sniffern gingen Notizinhalte beziehungsweise Nutzerdaten und zum Teil auch Dateiinhalte ins Netz.
