1926435

Getestet

So sicher sind Cloudapps

03.04.2014 | 17:13 Uhr |

Viele Smartphone-Nutzer speichern ihre Fotos und persönlichen Dokumente in Cloudapps wie Dropbox. Wie sicher sind die Apps?

Wer unterwegs Cloud-Dienste nutzt, muss sich einloggen. Wir zeigen, was iCloud, Dropbox, Skydrive und Google Drive dabei über Ihren Zugang preisgeben. Cloud-Dienste sind bei den meisten Benutzern nicht mehr aus dem Alltag wegzudenken. Auch wenn Ihnen bei dem Gedanken nicht wohl ist, dass Ihre Daten auf fremden Servern lagern, ist das kaum zu vermeiden. Das gilt besonders für Nutzer eines iOS-Geräts. Ohne iCloud bleiben Ihnen zahlreiche Funktionen versperrt. Viele Benutzer schätzen zudem die großzügigen Datendienste der Clouds von Dropbox, Microsoft, Google und anderen. Wer sicherstellen will, dass sensible Daten auf den Cloud-Servern geschützt sind, nutzt Zusatzprogramme wie Boxcryptor.

Datenklau beim Zugang

Der Zugang zu Ihren Cloud-Diensten erfolgt in den meisten Fällen über ein Programm oder eine App am iPhone mit einer E-Mail-Adresse und dem zugehörigen Passwort. Die Zugangsdaten sind entweder jedes Mal manuell einzugeben oder in der App gespeichert, im Webbrowser oder Programm des Cloud-Anbieters. Mit den Daten haben theoretisch nicht nur Sie, sondern auch Dritte Zugang. In Ihrem lokalen Netzwerk zuhause sollte das Ausspähen dieser Daten durch Dritte nicht möglich sein, sofern Sie Ihren Router richtig konfiguriert haben. Problematischer wird es unterwegs, wenn Sie schnell im Café oder am Bahnhof den Hotspot nutzen, um auf Ihre Cloud-Daten zuzugreifen

Ein normaler Hotspot-Router zeichnet den Datenverkehr zwischen Ihrem iPhone und Diensten nicht komplett auf, lediglich Basisverbindungsdaten. Sogenannte Man-in-the-Middle-Proxys lassen sich zwischenschalten und mit ihrer Hilfe der komplette Datenverkehr aufzeichnen. Geschickt eingerichtet, lassen sie sich nicht als Spion outen. Um zu prüfen, welche Daten zwischen den Cloud-Diensten und Ihrem iPhone ausgetauscht werden, haben wir unter OS X und Linux den kostenlosen Proxy-Server Mitmproxy installiert. Mitmproxy steht zwischen iPhone und Internet-Verbindung, deshalb "Man in the Middle".

Das iPhone und seine Dienste funktionieren wie bekannt, im Terminal werden die Datenanfragen und Antworten (Requests und Response) angezeigt. Sie können die Übertragung der Antworten sogar stoppen und den Antwortwert manipulieren, was wir aber nicht getan haben. Mitmproxy war bis iOS 6 die Lösung der Wahl, wollte man in Apples App Game Center die Highscores von Spielen manipulieren: Man stoppte an entsprechender Stelle die Übertragung und setzte den eigenen Spielstand hoch – das funktioniert seit iOS 7 übrigens nicht mehr.

Datenverkehr abgehört

Bei jeder Aktion, zu der das iPhone Verbindung mit dem Internet aufnimmt, wird der komplette Datenverkehr aufgezeichnet und lässt sich auch später noch analysieren. Bei unseren ersten Versuchen im Dezember letzten Jahres stellte sich Microsofts Skydrive als am wenigsten gesicherte Lösung dar. Beim Start der App übertrug diese die kompletten Account-Daten im Klartext, also die E-Mail-Adresse und das Passwort. Hier hat Microsoft inzwischen halbherzig nachgebessert. Die E-Mail-Adresse wird weiter im Klartext in einem Cookie übertragen.

Dass es auch sicher und ohne Klartext geht, zeigt die oft gescholtene Lösung Dropbox, hier kommt das sichere OAuth-Verfahren zum Einsatz, bei dem zur Autorisierung weder Account-Name noch Passwort übertragen werden. Auf dasselbe Verfahren setzt aktuell auch Google bei seinem Dienst Google Drive. Auch Apple setzt bei der Nutzung von iCloud-Diensten auf ein Token-Verfahren, nämlich X-MobileMe-AuthToken. Bei den großen Anbietern ist lediglich Microsoft in der Pflicht.

Geschwätzige Apps

Allerdings sind alle Lösungen mehr oder minder geschwätzig bei der Übergabe von Daten zu Ihrem iPhone wie Modell, iOS-Version, Land, IP-Adresse und so weiter. Diese haben für die Anbieter nur statistische Bedeutung und sollten besser unterbleiben. Das skizzierte relativ einfache "Mithören" per Proxy klappt natürlich nicht bei Datenverbindungen per Mobilfunk.

0 Kommentare zu diesem Artikel
1926435