Dutzende iPhone-Apps anfällig für Man-in-the-Middle-Attacken

Mindestens 76 iOS-Apps sind anfällig für Man-in-the-Middle-Attacken, wie der Sicherheitsforscher Will Strafach von Sudo Security herausgefunden hat. Sie geben Angreifern unbemerkt Daten preis, obwohl diese eigentlich durch das Verschlüsselungsprotokoll TLS geschützt sein sollten.

Strafach machte sich als iPhone-Hacker einen Namen und bietet jetzt mit verify.ly einen webbasierten Service für die Analyse von Mobil-Apps an. Während der Entwicklung dieses Dienstes nahm er automatische Überprüfungen von Anwendungen im Apple App Store vor, um die verbreitetsten Sicherheitsprobleme zu ermitteln. Dabei stellte sich heraus, dass wahrscheinlich sogar Hunderte von Apps das Abfangen von Daten nicht wirksam verhindern.

Bei 76 beliebten iOS-Apps ließ sich laut Strafach klar bestätigen, dass sie Man-in-the-Middle-Attacken bei eigentlich von TLS (HTTPS) geschützten Verbindungen und damit das Mitschneiden oder die Manipulation von Daten ermöglichten. Nach Schätzungen von Apptopia waren diese anfälligen Anwendungen für insgesamt mehr als 18 Millionen einzelne Downloads verantwortlich.

Die praktische Möglichkeit von Angriffen bestätigte der Sicherheitsforscher mit einem iPhone mit iOS 10 sowie einem „bösartigen“ Proxy, um der Verbindung ein ungültiges TLS-Zertifikat unterzuschieben. Die Angriffe können ihm zufolge innerhalb der WLAN-Reichweite von Geräten erfolgen, während sie in Benutzung sind. Das kann überall in der Öffentlichkeit sein oder selbst zuhause, wenn sich ein Angreifer genügend nähern kann. Für die Attacke benötigt wird nur eine leicht erhältliche Hardware oder ein geringfügig modifiziertes Mobiltelefon.

In einem Blogeintrag nannte der Sicherheitsexperte zunächst nur 33 dieser Apps, die nur mit einem relativ geringen Risiko verbunden sind. Dazu zählt beispielsweise Huawei HiLink, das Gerätedaten enthüllt. Chyslers Uconnect Access gibt zwar beim Setup Anmeldedaten von Pandora und Slacker Radio preis, ermöglicht aber keine ernsthafte Manipulation von Fahrzeugen. Der Cheetah Browser lässt Standortdaten und sogar Tastatureingaben abgreifen.

20 weiteren iOS-Apps attestierte Strafach ein mittleres Risiko, da sie Anmeldedaten oder Authentifizierungstokens für angemeldete Nutzer preisgeben. Darüber hinaus stellte er bei 19 iOS-Apps ein hohes Risiko fest, da sie Anmeldedaten oder Tokens bei Verbindungen zu Finanzdienstleistern oder medizinischen Services enthüllten. Den Anbietern dieser Apps mit mittlerem oder hohem Risiko will der Sicherheitsforscher 60 bis 90 Tage Zeit für die Behebung der Schwachstellen geben, bevor er sie namentlich nennt.

Für die Lösung dieser Probleme sieht der Sicherheitsforscher die App-Entwickler in der Verantwortung, die beim Einfügen von netzwerkbezogenem Code weit vorsichtiger sein müssten. Apples Schutzmechanismus „App Transport Security“ könne hier nicht greifen, ohne eventuell neue Angriffsflächen zu eröffnen.

Endanwendern legt Strafach eine einfache Vorsichtsmaßnahme nahe, um in nächster Zeit eine solche Gefährdung zu verringern. Er empfiehlt bei sensiblen Aktivitäten mit dem Mobilgerät an einem öffentlichen Ort – wie etwa dem Öffnen einer Banking-App für den Abruf des Kontostands – eine deaktivierte WLAN-Verbindung und die ausschließliche Nutzung einer Mobilfunkverbindung. Zwar seien solche Angriffe auch bei einer mobilen Datenverbindung möglich, erforderten aber kostspielige Hardware und seien leichter zu bemerken.

[mit Material von Zack Whittaker, ZDNet.com]