Categories: Sicherheit

Dutzende iPhone-Apps anfällig für Man-in-the-Middle-Attacken

Mindestens 76 iOS-Apps sind anfällig für Man-in-the-Middle-Attacken, wie der Sicherheitsforscher Will Strafach von Sudo Security herausgefunden hat. Sie geben Angreifern unbemerkt Daten preis, obwohl diese eigentlich durch das Verschlüsselungsprotokoll TLS geschützt sein sollten.

Strafach machte sich als iPhone-Hacker einen Namen und bietet jetzt mit verify.ly einen webbasierten Service für die Analyse von Mobil-Apps an. Während der Entwicklung dieses Dienstes nahm er automatische Überprüfungen von Anwendungen im Apple App Store vor, um die verbreitetsten Sicherheitsprobleme zu ermitteln. Dabei stellte sich heraus, dass wahrscheinlich sogar Hunderte von Apps das Abfangen von Daten nicht wirksam verhindern.

Bei 76 beliebten iOS-Apps ließ sich laut Strafach klar bestätigen, dass sie Man-in-the-Middle-Attacken bei eigentlich von TLS (HTTPS) geschützten Verbindungen und damit das Mitschneiden oder die Manipulation von Daten ermöglichten. Nach Schätzungen von Apptopia waren diese anfälligen Anwendungen für insgesamt mehr als 18 Millionen einzelne Downloads verantwortlich.

Die praktische Möglichkeit von Angriffen bestätigte der Sicherheitsforscher mit einem iPhone mit iOS 10 sowie einem „bösartigen“ Proxy, um der Verbindung ein ungültiges TLS-Zertifikat unterzuschieben. Die Angriffe können ihm zufolge innerhalb der WLAN-Reichweite von Geräten erfolgen, während sie in Benutzung sind. Das kann überall in der Öffentlichkeit sein oder selbst zuhause, wenn sich ein Angreifer genügend nähern kann. Für die Attacke benötigt wird nur eine leicht erhältliche Hardware oder ein geringfügig modifiziertes Mobiltelefon.

HIGHLIGHT

MacBook Pro 13″ mit Touch Bar im Test

Das neue MacBook Pro verfügt mit der Touch Bar über ein neues Bedienelement. Sie bietet kontextsensitive Schnellzugriffe auf häufig benötigte Funktionen und soll dadurch ein effizienteres Arbeiten ermöglichen. In Bezug auf die Schnittstellen-Ausstattung bietet das Gerät allerdings auch Anlass zu Kritik.

In einem Blogeintrag nannte der Sicherheitsexperte zunächst nur 33 dieser Apps, die nur mit einem relativ geringen Risiko verbunden sind. Dazu zählt beispielsweise Huawei HiLink, das Gerätedaten enthüllt. Chyslers Uconnect Access gibt zwar beim Setup Anmeldedaten von Pandora und Slacker Radio preis, ermöglicht aber keine ernsthafte Manipulation von Fahrzeugen. Der Cheetah Browser lässt Standortdaten und sogar Tastatureingaben abgreifen.

20 weiteren iOS-Apps attestierte Strafach ein mittleres Risiko, da sie Anmeldedaten oder Authentifizierungstokens für angemeldete Nutzer preisgeben. Darüber hinaus stellte er bei 19 iOS-Apps ein hohes Risiko fest, da sie Anmeldedaten oder Tokens bei Verbindungen zu Finanzdienstleistern oder medizinischen Services enthüllten. Den Anbietern dieser Apps mit mittlerem oder hohem Risiko will der Sicherheitsforscher 60 bis 90 Tage Zeit für die Behebung der Schwachstellen geben, bevor er sie namentlich nennt.

Für die Lösung dieser Probleme sieht der Sicherheitsforscher die App-Entwickler in der Verantwortung, die beim Einfügen von netzwerkbezogenem Code weit vorsichtiger sein müssten. Apples Schutzmechanismus „App Transport Security“ könne hier nicht greifen, ohne eventuell neue Angriffsflächen zu eröffnen.

Endanwendern legt Strafach eine einfache Vorsichtsmaßnahme nahe, um in nächster Zeit eine solche Gefährdung zu verringern. Er empfiehlt bei sensiblen Aktivitäten mit dem Mobilgerät an einem öffentlichen Ort – wie etwa dem Öffnen einer Banking-App für den Abruf des Kontostands – eine deaktivierte WLAN-Verbindung und die ausschließliche Nutzung einer Mobilfunkverbindung. Zwar seien solche Angriffe auch bei einer mobilen Datenverbindung möglich, erforderten aber kostspielige Hardware und seien leichter zu bemerken.

[mit Material von Zack Whittaker, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago