Categories: Sicherheit

Dutzende iPhone-Apps anfällig für Man-in-the-Middle-Attacken

Mindestens 76 iOS-Apps sind anfällig für Man-in-the-Middle-Attacken, wie der Sicherheitsforscher Will Strafach von Sudo Security herausgefunden hat. Sie geben Angreifern unbemerkt Daten preis, obwohl diese eigentlich durch das Verschlüsselungsprotokoll TLS geschützt sein sollten.

Strafach machte sich als iPhone-Hacker einen Namen und bietet jetzt mit verify.ly einen webbasierten Service für die Analyse von Mobil-Apps an. Während der Entwicklung dieses Dienstes nahm er automatische Überprüfungen von Anwendungen im Apple App Store vor, um die verbreitetsten Sicherheitsprobleme zu ermitteln. Dabei stellte sich heraus, dass wahrscheinlich sogar Hunderte von Apps das Abfangen von Daten nicht wirksam verhindern.

Bei 76 beliebten iOS-Apps ließ sich laut Strafach klar bestätigen, dass sie Man-in-the-Middle-Attacken bei eigentlich von TLS (HTTPS) geschützten Verbindungen und damit das Mitschneiden oder die Manipulation von Daten ermöglichten. Nach Schätzungen von Apptopia waren diese anfälligen Anwendungen für insgesamt mehr als 18 Millionen einzelne Downloads verantwortlich.

Die praktische Möglichkeit von Angriffen bestätigte der Sicherheitsforscher mit einem iPhone mit iOS 10 sowie einem „bösartigen“ Proxy, um der Verbindung ein ungültiges TLS-Zertifikat unterzuschieben. Die Angriffe können ihm zufolge innerhalb der WLAN-Reichweite von Geräten erfolgen, während sie in Benutzung sind. Das kann überall in der Öffentlichkeit sein oder selbst zuhause, wenn sich ein Angreifer genügend nähern kann. Für die Attacke benötigt wird nur eine leicht erhältliche Hardware oder ein geringfügig modifiziertes Mobiltelefon.

HIGHLIGHT

MacBook Pro 13″ mit Touch Bar im Test

Das neue MacBook Pro verfügt mit der Touch Bar über ein neues Bedienelement. Sie bietet kontextsensitive Schnellzugriffe auf häufig benötigte Funktionen und soll dadurch ein effizienteres Arbeiten ermöglichen. In Bezug auf die Schnittstellen-Ausstattung bietet das Gerät allerdings auch Anlass zu Kritik.

In einem Blogeintrag nannte der Sicherheitsexperte zunächst nur 33 dieser Apps, die nur mit einem relativ geringen Risiko verbunden sind. Dazu zählt beispielsweise Huawei HiLink, das Gerätedaten enthüllt. Chyslers Uconnect Access gibt zwar beim Setup Anmeldedaten von Pandora und Slacker Radio preis, ermöglicht aber keine ernsthafte Manipulation von Fahrzeugen. Der Cheetah Browser lässt Standortdaten und sogar Tastatureingaben abgreifen.

20 weiteren iOS-Apps attestierte Strafach ein mittleres Risiko, da sie Anmeldedaten oder Authentifizierungstokens für angemeldete Nutzer preisgeben. Darüber hinaus stellte er bei 19 iOS-Apps ein hohes Risiko fest, da sie Anmeldedaten oder Tokens bei Verbindungen zu Finanzdienstleistern oder medizinischen Services enthüllten. Den Anbietern dieser Apps mit mittlerem oder hohem Risiko will der Sicherheitsforscher 60 bis 90 Tage Zeit für die Behebung der Schwachstellen geben, bevor er sie namentlich nennt.

Für die Lösung dieser Probleme sieht der Sicherheitsforscher die App-Entwickler in der Verantwortung, die beim Einfügen von netzwerkbezogenem Code weit vorsichtiger sein müssten. Apples Schutzmechanismus „App Transport Security“ könne hier nicht greifen, ohne eventuell neue Angriffsflächen zu eröffnen.

Endanwendern legt Strafach eine einfache Vorsichtsmaßnahme nahe, um in nächster Zeit eine solche Gefährdung zu verringern. Er empfiehlt bei sensiblen Aktivitäten mit dem Mobilgerät an einem öffentlichen Ort – wie etwa dem Öffnen einer Banking-App für den Abruf des Kontostands – eine deaktivierte WLAN-Verbindung und die ausschließliche Nutzung einer Mobilfunkverbindung. Zwar seien solche Angriffe auch bei einer mobilen Datenverbindung möglich, erforderten aber kostspielige Hardware und seien leichter zu bemerken.

[mit Material von Zack Whittaker, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

15 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago