Gratis
9. November 2017 - Mobile Computing

111 der 200 bekanntesten iOS-Apps sind unsicher

Nicht wenige Datenschutzbeauftragte und IT-Administratoren haben Bedenken beim Einsatz von Smartphones in Unternehmen. Trotz zentraler Softwarelösungen für das Management von mobilen Geräten behalten sie damit leider oft Recht.

Handys im öffentlichen WLAN ungeschützt Handys sind in öffentlichen WLAN-Netzwerken immer noch ein offenes Buch (Bild: Thinkstock / iStock / PrettyVectors)

Nach einem Medienbericht aus der Wochenzeitung „Die Zeit“ sind 111 der 200 beliebtesten kostenlosen Apps für iOS potenziell unsicher.

Klassische Man-in-the-middle-Angriffe

Dabei können Angreifer eine Lücke ausnutzen, die Apple vor einiger Zeit schließen wollte. Im Kern geht es darum, wie Apps Benutzerdaten an externe Server vermitteln. Dabei werden die Daten nicht oder nicht ausreichend verschlüsselt.

Das wiederum führt dazu, dass Unbefugte den Datenverkehr der App mitschneiden und analysieren können. Das passiert zum Beispiel, wenn das Gerät mit einem öffentlichen WLAN verbunden ist: der klassische Man-in-the-middle-Angriff.

Lücken sollten längst geschlossen sein

Genau diese Art von Attacke wollte Apple mit seinen bereits 2016 vorgestellten Richtlinien für Entwickler verhindern.

Auf seiner WWDC-Konferenz des Jahres hatte das Softwareunternehmen angekündigt, die verschlüsselte Übertragung zur Pflicht zu machen. Entwickler wurden durch die Richtlinien verpflichtet, die 2015 vorgestellte und eingeführte Verschlüsselung ATS (App Transport Security) zu verwenden.

Die Regelung galt für diejenigen, die neue Apps im App-Store anmelden oder ihre Programme im App-Store belassen wollten. Würde diese auf TLS basierende Verschlüsselung konsequent umgesetzt, wären die Angriffe chancenlos.

Apple gibt mehr Zeit zur Behebung

Die von der „Zeit“ getesteten Apps nutzen ATS aber nicht. Das hat damit zu tun, dass Apple gegenüber der Entwicklergemeinde im vergangenen Jahr einen Rückzieher gemacht hatte.

In einem Bulletin räumte der Konzern den Softwareherstellern mehr Zeit für die Umsetzung von ATS ein. Ohne weitere Fristsetzung. Daran hat sich bis heute nichts geändert.

Vorsicht ist und bleibt geboten

Unter den Aspekten von Datenschutz und Datensicherheit bleiben Apps problematisch, wie dieses aktuelle Beispiel erneut zeigt.

Gerade bei Apps, die genutzt werden, um personenbezogene Daten zu übertragen oder einzusehen, müssen Sie aufpassen. Die Aufgabe der Datenschutzbeauftragten gemeinsam mit den IT-Verantwortlichen ist es, darauf zu achten, dass diese Anwendungen die aktuellen Verschlüsselungstechnologien einsetzen.

Das gilt für die Anwendungen von Drittherstellern genauso wie für Eigenentwicklungen des Unternehmens selbst.

Stephan Lamprecht

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln