Home » Betriebssystem » App Store voller unsicherer Gratis-Apps: Apple setzt eigene Vorgaben nur zögerlich um

App Store voller unsicherer Gratis-Apps: Apple setzt eigene Vorgaben nur zögerlich um

Viele beliebte Apps im App Store weisen gravierende Sicherheitslücken auf: Oft werden etwa Logindaten nicht verschlüsselt übertragen. In Kombination mit einer unausrottbaren Unsitte vieler Internetnutzer kann daraus ein erhebliches Sicherheitsproblem entstehen.

Zahlreiche Apps, die im App Store populär sind, weisen auch heute noch gravierende Sicherheitsdefizite auf, darauf wies der Hamburger Sicherheitsforscher Thomas Jansen hin. Es mangelt häufig an verschlüsselten Übertragungen von Anmeldeinformationen oder an der korrekten Implementierung von Sicherheitsmechanismen. Jansen, der zuvor acht Jahre bei Apple in Kalifornien gearbeitet hat, hat die 200 beliebtesten Gratis-Apps im deutschen App Store unter die Lupe genommen. In 111 von ihnen stieß er auf teils erhebliche Sicherheitsmängel.

Durch eine Man-in-the-Middle-Attacke können Angreifer so häufig an Logininformationen gelangen, die eine App mit ihrem Server austauscht. In einigen Fällen ist zwar eine Verschlüsselung vorhanden, die Korrektheit eines genutzten HTTPS-Zertifikats wird aber nicht geprüft.

Apple setzt HTTPS-Verpflichtung nicht durch

Apples App Store-Reviewprozess ist streng und oft genug verlangt Cupertino der Entwicklergemeinde einiges ab. So zwang der harte Wechsel zu 64-Bit-Apps Entwickler umgehend ihre Apps anzupassen, um nicht aus dem App Store zu fliegen. Diese „Friss oder stirb“-Politik wendet Apple bei der verschlüsselten Übertragung von Nutzerdaten aber nicht an, obwohl es das ursprünglich angekündigt hatte. Apps sollten bis Ende 2016 sämtlich auf HTTPS-basierte Übertragungen kritischer Daten setzen, App Transport Security nennt Apple die Implementierung davon.

Schlüssel - Symbolbild

Verschlüsselung – Symbolbild

Doch dann setzte das Unternehmen diese Frist wieder aus und erklärte, man wolle den Entwicklern mehr Zeit für die Umstellung geben, mithin eine selten gewährte Gnade Cupertinos und womöglich hier auch an der falschen Stelle eingeräumt. Denn heute ist noch immer kein definitives Datum für das Ende ungesicherter Übertragungen genannt, auch wenn App-Entwickler nun begründen müssen, warum eine App nicht HTTPS einsetzt. Das scheint indes recht oft von Apple akzeptiert zu werden, wie die Forschung von Thomas Jansen zeigt. Brisant wird das Abfangen von Nutzerdaten auch in kleinen windigen Apps dadurch, dass noch immer viele Nutzer ein- und das selbe Passwort für zahlreiche Apps benutzen. So gerät etwa das Passwort für Paypal-Accounts oder Apple-IDs immer wieder in die Hände von Kriminellen.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Gefällt Dir der Artikel?

 
 
Roman van Genabith
twitter Google app.net mail

11 Kommentare zu dem Artikel "App Store voller unsicherer Gratis-Apps: Apple setzt eigene Vorgaben nur zögerlich um"

  1. didi 1. November 2017 um 12:46 Uhr ·
    Man sollte die Namen der unsicheren Apps veröffentlich + Cupertino unter Druck setzen, schließlich tönt Apple bzgl Sicherheit laut und stark ……
    iLike 0
  2. JDFF 1. November 2017 um 13:37 Uhr ·
    Ganz deiner Meinung…Es ist unverantwortlich für den Nutzer, welcher sich in Sicherheit wiegt, das Defizit im guten Glauben Apple schützt den Store zu verwenden. Wenn ich wüsste, welche das sind, würden diese einen Flugschein bekommen… Und 👋….
    iLike 0
  3. inuli 1. November 2017 um 14:02 Uhr ·
    1. (Gravierende) Sicherheitslücken in Apps können auch ohne Zutun der User zu erheblichen Sicherheitsproblemen führen. 2. Soweit ich mitbekommen habe, wendet Apple die „Friss oder stirb-Politik“ -zumindest vorwiegend, wenn nicht sogar ausschließlich- bei Apps/Appentwicklern an, welche Apple selber nicht in den Kram passen: so z. B. bei der App „AdBlock for iOS“, deren Autoren von Apple genötigt wurden, das VPN-basierte adblocking aus der App zu entfernen, um nicht aus dem AppStore zu fliegen. P F U I, Apple!!! 😡👎
    iLike 0
  4. Matze 1. November 2017 um 14:38 Uhr ·
    Nutzt die Apfelpage App https? Die Homepage ist doch nur http, oder?
    iLike 1
    • Toni Ebert 1. November 2017 um 14:45 Uhr ·
      Ja, aber die App holt sich ihre Daten aus einem Cache in der Cloud und der ist https.
      iLike 0
      • Matze 1. November 2017 um 14:51 Uhr ·
        Danke für die Info. Und wenn ich hier auf der Homepage meine Mailadresse für die Kommentare angebe, wird diese dann nur per http übertragen?
        iLike 0
      • Toni Ebert 1. November 2017 um 14:52 Uhr ·
        @Matze Zurzeit ist das so, ja. Aber da arbeiten wir dran, das mittelfristig zu ändern.
        iLike 0
      • Matze 1. November 2017 um 14:58 Uhr ·
        Nur für mein Verständnis. Das heißt, wenn ich die Apfelpage App nutze und meine Mailadresse für Kommentare angebe, dann findet der Austausch mit dem Server im Klartext statt und jeder, der den Datenstream mitließt, kommt an meine Daten?
        iLike 0
      • Toni Ebert 1. November 2017 um 15:02 Uhr ·
        @Matze Nicht ganz. Wenn du die App verwendest, ist die Übertragung verschlüsselt von deinem Gerät in besagte Cloud (und von da unverschlüsselt zu unserem Server). Wenn du die Webseite verwendest, ist der Traffic unverschlüsselt. Allerdings erscheint der Kommentar öffentlich, d.h. bis auf die E-Mail-Adresse ist ohnehin alles sichtbar, selbst wenn niemand die Daten mitgeschnitten hat. Aber ja, wenn es dir darum geht, dass die E-Mail-Adresse verschlüsselt übertragen wird, solltest du via App kommentieren.
        iLike 0
      • Matze 1. November 2017 um 15:05 Uhr ·
        Danke für die Erklärung.
        iLike 0
  5. Mahmud 1. November 2017 um 14:44 Uhr ·
    Ich hoffe dass die Sicherheitslücken irgendwie gestopft werden
    iLike 0

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.