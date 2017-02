Vergrößern Viele Apps sind nicht sicher © 2015

Laut Stichproben sind viele Apps noch immer unzureichend gegen Datenspione geschützt – trotz SSL-Verschlüsselung.

Mit Mobil-App verwaltet man immer mehr persönliche Daten und Finanzinformationen, eine wertvolle Beute für Datenspione und Hackern. Viel Apps haben beim Schutz dieser Daten aber noch Mängel, wie jetzt eine neue Stichprobe der Sudo Security Group bestätigt. Die Firma bietet mit verify.ly einen Service für App-Tests und hat nach eigenen Angaben bei 76 populären iOS-Apps Sicherheitsmängel gefunden.

Der Schweregrad war laut Will Strafach von Sudo unterschiedlich, bei einigen wie Snap Upload for Snapchat wäre etwa nur das Abfangen von wenig sensiblen Daten wie Anmeldedaten möglich. Bei 19 Apps, deren Namen Strafach erst in 60 Tagen veröffentlichen will, sei aber sogar der Eingriff in Finanz- und Gesundheitsdaten möglich. Das Problem ist nicht neu: Bei den betroffenen App würden die Daten zwar über eine verschlüsselte Verbindung übertragen, allerdings nicht die Gültigkeit des TLS-Zertifikats überprüft. Dadurch wird ein sogenannter Man-in-the-Middle-Angriff möglich, etwa das Abfangen von Daten in einem öffentlichen WLAN.

Apples neues System App Transport Security böte dagegen keinen Schutz, da es sich um einen Konfigurationsfehler der App-Programmierer handele. Apple prüfe bei der Einstellung einer App im App Store nur, ob die Verschlüsselung TLS aktiv ist, nicht die richtige Konfiguration. Nutzern einer Banking-App empfiehlt Strafach deshalb, Bankdaten nicht über ein fremdes WLAN abzufragen, nur per Mobilfunk. Über Letzteres wäre zwar ebenfalls ein Angriff möglich, aber weit aufwendiger und unwahrscheinlicher.

Probleme bei der Umsetzung von TLS sind nicht neu, zu ähnlichen Ergebnissen war auch schon vor zwei Monaten Appthority gekommen. Ist doch bei vielen Apps noch immer ATS deaktiviert, etwa weil viele Apps auf unverschlüsselte Webdienste angewiesen sind – beispielsweise für das Abrufen von Wetterdaten.