Categories: Sicherheit

WWDC: Apple macht TLS-Nutzung für Apps verpflichtend

Apple hat auf seiner Entwicklerkonferenz WWDC angekündigt, die Verwendung von Transport Layer Security (TLS) zum Jahreswechsel für alle iOS-Apps verpflichtend zu machen. Ab dem 1. Januar 2017 müssen Apps dafür sorgen, dass sie Verbindungen mit App Transport Security (ATS) erzwingen, wenn sie zum App Store zugelassen werden wollen, berichtet TechCrunch.

iPad Mini Retina (Bild: News.com)Das vor einem Jahr eingeführte ATS verwendet TLS 1.2 als Verschlüsselungsstandard. Es verhindert, dass Apps Daten im Klartext an Server übertragen, sodass sie von Anwendern im gleichen Netz (oder Geheimdiensten mit Zugang zu Internetknoten) leicht mitgelesen werden können.

Für das Betriebssystem iOS ist ATS seit Version 9 standardmäßig aktiv. Das gilt auch für OS X 10.11. In einem technischen Dokument merkt Apple an, ATS „verhindert versehentliche Dateneinsicht, sorgt für standardmäßig sichere Übertragung und ist leicht zu nutzen.“ Eine unsichere Verbindung mit einem Server bedeute etwa, dass ein Angreifer sehen könne, auf welche Mediendateien ein User zugreife, was einen weiteren Angriffspunkt für die App darstelle.

Google hatte Werbekunden im vergangenen Jahr darauf hingewiesen, dass es möglich ist, ATS unter iOS 9 ausnahmsweise zu umgehen. Das sorgte für Kritik, Google sei sein Werbegeschäft wichtiger als die Sicherheit von iOS-Nutzern. Tatsächlich fand sich der gleiche Hinweis aber auch in Apples Dokumentation.

Bei Apps bestand bisher das Problem, dass für den Anwender – anders als im Browser – nicht zu erkennen ist, ob eine Verbindung verschlüsselt erfolgt. In der Tat erweisen sich Apps immer wieder als anfällig.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Die Datenschutz-Anforderung an App-Entwickler kommt kurz nach Apples Ankündigung, mehr Daten über seine Nutzer sammeln zu wollen, um Funktionen wie QuickType oder Spotlight bessere Vorschläge zu ermöglichen. Zusätzliche Daten erfordern aber auch zusätzliche Absicherung.

Verschlüsselung und Schutz der Privatsphäre sind zudem von Apple bei der Einführung des neuen Dateimanagementsystems Apple File System (APFS) angeführte Schlagworte. APFS wird als moderner Ansatz gegenüber Jahrzehnte alten Dateisystemen aus der Ära der Floppy-Disk und rotierender Festplatten gepriesen. Es unterstützt Verschlüsselung nativ, auch mit mehreren Schlüsseln. Es sei „zunehmend wichtig, private Daten sicher und vor neugierigen Augen geschützt“ aufzubewahren, heißt es.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Hackerangriffe auf Zero-Day-Lücke in Ivanti Connect Secure VPN

Mindestens ein Bedrohungsakteur hat Verbindungen nach China. Die Zero-Day-Lücke erlaubt die vollständige Kontrolle von Ivanti…

3 Tagen ago

Smartphonemarkt wächst 2025 voraussichtlich um 4,6 Prozent

Der Trend hin zu Premium-Smartphones hält an. Dieses Segment verbessert sich wahrscheinlich um mehr als…

4 Tagen ago

Roboter mit LiDAR-Laser erkundet Gefahrenzonen

Bisher wurden nur Kameras eingesetzt, die Bilddaten liefern. Mit dem Laser soll es möglich werden,…

4 Tagen ago

Augmented Reality: private Nutzung holt auf

Anwendung der Technologie im B2C-Umfeld steigt von 19 auf 28 Prozent. Kamerafilter und Spiele sind…

4 Tagen ago

Private/Hybrid-Cloud: Kleinere Anbieter mischen Mittelstandsmarkt auf

ISG-Studie: Globale Systemintegratoren zunehmend unter Wettbewerbsdruck. Zahlreiche Fusionen mit Hilfe von Private-Equity-Kapital.

4 Tagen ago

Sicherheitsupdate für Chrome 131 schließt vier Lücken

Eine Anfälligkeit erlaubt eine Remotecodeausführung innerhalb der Sandbox von Chrome. Betroffen sind Chrome 131 und…

4 Tagen ago