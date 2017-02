Apple will mehr Sicherheit und schreibt zukünftig für iOS-Apps nach dem Motto „HTTPS ist das neue HTTP“ bis auf wenige Ausnahmen verschlüsselte Protokolle vor. Aber damit alleine ist es nicht getan, auch müssen solche Protokolle entsprechend implementiert werden, um wirklich mehr Sicherheit zu bringen. Zum Beispiel sollte eine App nicht nur prüfen, ob ein Zertifikat zum angesprochenen Server passt, sondern am besten auch, ob es nicht nur ein passendes Zertifikat ist, sondern eben das passende Zertifikat.

Eine Möglichkeit dazu bietet das HTTP Public Key Pinning, bei dem der Client eine Liste von Public Keys führt, die für eine bestimmte Domains akzeptiert werden. Eine solche Liste könnte bei einer App natürlich auch fest hinterlegt werden. Ohne eine solche Absicherung akzeptiert ein Client jedes passende Zertifikat, das von einer anerkannten Zertifizierungsstelle signiert wurde. Bekanntermaßen sind auch Zertifizierungsstellen nicht unfehl- und unangreifbar, entsprechende Fälle von unberechtigt ausgestellten Zertifikaten gab es bereits.

Der Mann dazwischen

Akzeptiert ein Client nun beim Aufbau einer HTTPS-Verbindung jeden vom Server gelieferten Public Key, so lange der von einer Zertifizierungsstelle unterschrieben wurde oder noch schlimmer, so lange er nur zum Namen des Servers passt, dann ist das eine Möglichkeit für einen Angreifer, sich in die Verbindung einzuklinken. Dazu muss der Angreifer natürlich erst einmal gewisse Kontrolle über das Netzwerk haben der das die Verbindung zwischen Client und Server hergestellt wird.

Ein möglicher Angreifer könnte einen öffentlichen Hotspot bereit stellen und den gesamten Traffic über einen Proxy umleiten. Über diesen kann dann die Verbindung zwischen Client und Server abgefangen werden: Der Proxy präsentiert ein eigenes SSL-Zertifikat für die Verbindung, so dass die Verschlüsselung nur zwischen Client und Proxy läuft. Dort können die dann unverschlüsselten Daten aus dieser Verbindung gespeichert und auch weiter gesendet werden an den eigentlichen Server. Der Proxy ist dann der „Man in the Middle“ und kann die Kommunikation in beide Richtungen mitschreiben und manipulieren. So ein Angriff wäre auch über ein Mobilfunknetz denkbar, der Aufwand hier ist aber deutlich höher, wobei staatliche Stellen es einfacher hätten, da sie unter Umständen Mobilfunkprovider zur Mitarbeit zwingen könnten.

In Anbetracht der Tatsache, dass solche Angriffe nicht neu sind, erscheint es unverständlich, dass es immer noch Apps gibt, die auf zusätzliche Sicherheitsmaßnahmen verzichten, zumindest wenn es um sensible Daten geht.

76 betroffene iOS-Apps

Im Zuge der Entwicklung eines Dienstes, um Apps auf genau solche Schwachstellen zu testen, wurden vom Entwickler 76 nach eigenen Angaben populäre iOS-Apps mit anfälligen TLS-Implementierungen entdeckt. Man kann darüber streiten, wie populär diese Apps wirklich sind, dass darunter aber solche sein sollen, die Daten zur Authentifizierung oder sehr persönliche Daten verschicken, ist zumindest erstaunlich.

Das Risiko bei diesen Apps wird unterschiedlich eingeschätzt, abhängig davon welche Daten übertragen werden. Einige Beispiel für Apps mit „niedrigem“ Risiko und Apps, bei denen diese Schwachstelle bereits vorher öffentlich gemacht wurde, listet Will Strafach in seinem Blogbeitrag auf. Bei den Apps mit mittlerem und hohem Risiko wurde vorläufig von einer Veröffentlichung abgesehen. Die Entwickler der Apps wurden informiert und sollen Zeit bekommen, die Schwachstellen zu beseitigen, immerhin geht es hier um Daten von Logins, Finanz- und Zahlungsinformationen und medizinische Daten der User, die über einen solchen Angriff abgegriffen werden könnten.

Grundsätzliches Problem

Auch wenn nun aktuell iOS-Apps im Mittelpunkt stehen, ist das natürlich ein grundsätzliches Problem. Auch auf anderen Systemen gab und gibt es anfällige TLS-Implementierungen und ein Angriff auf diese ist gar nicht mal so schwer. Es reicht schon ein WLAN unter einem verbreiteten Namen auf zu machen und darauf zu vertrauen, dass die meisten Smartphone-Nutzer ihre Geräte in bekannte Netzwerke automatisch einloggen lassen.

Gegenmaßnahmen

An erster Stelle bei den Gegenmaßnahmen sind natürlich die Entwickler gefordert, ihre Apps auf den aktuellen Stand zu bringen und gegen diese Art von Angriffen besser zu schützen. Nicht ganz zufällig empfiehlt Will Strafach Da aber immer Fehler passieren können, sollte auch jeder Nutzer ein wenig Vorsicht walten lassen und zum Beispiel bestimmte Aktivitäten, wie der Zugriff auf das Girokonto, nicht in einem öffentlichen WLAN durchführen. Für solche Aktivitäten sollte man sich in einem „sicheren“ Netz aufhalten oder das WLAN am besten auch direkt abschalten. Auch ein Verbindungsaufbau über einen vertrauenswürdigen VPN-Anbieter oder ein eigenes VPN zum heimischen Router machen solche Attacken zumindest deutlich schwerer – außer für den Betreiber des VPN natürlich.

VPN-Apps halten oft das Gegenteil dessen, was sie versprechen

Eine hundertprozentig sichere Lösung gibt es – wie immer – nicht. Und egal welche Maßnahmen die Anbieter von Apps und Plattformen auch ergreifen, man muss immer auch selbst vorsichtig sein und daran denken, dass man sich in öffentlichen Netzwerken eben in der Öffentlichkeit bewegt. Wir verdecken schließlich auch alle das Eingabefeld für die ec-Karten-PIN an der Supermarktkasse oder am Geldautomaten, damit nicht jeder zuschauen kann, was wir da eingeben.