Apple prüft zu lasch
ZEIT schlägt Alarm: „Populäre Apps gefährden ihre Nutzer“
Die Online-Ausgabe der ZEIT schlägt unter Verweis auf die Recherche-Ergebnisse eines Hamburger IT-Spezialisten Alarm: In 111 der 200 beliebtesten iOS-Applikationen soll dieser Schwachstellen gefunden haben. Die ZEIT konstatiert: „Viele beliebte iPhone-Apps sind anfällig für gezielte Hackerangriffe.“
Ein strammer Vorwurf, den das Nachrichtenmagazin zudem mit einer Breitseite in Richtung Apple würzt: Cupertino sei hier nicht ohne Schuld. Die Sicherheits-Schwachstellen seien darauf zurückzuführen, dass die verantwortlichen Entwickler Apples Richtlinien umgehen – anstatt einzuschreiten schaue der Konzern hier jedoch tatenlos zu.
Wir schätzen die ZEIT sehr, wollen den Bericht von Patrick Beuth, der unter der Überschrift „Populäre Apps gefährden ihre Nutzer“ veröffentlicht wurde, an dieser Stelle aber kurz relativieren.
Der IT-Spezialist hat nicht etwa 111 neu verwundbare iOS-Anwendungen aufgespürt, sondern lediglich geprüft, welche iOS-Applikationen aus den Top-200-Charts des App Stores noch nicht auf die vollständig verschlüsselte Übertragung von Nutzernamen und Passwort bei ihren Login-Formularen setzen.
Anders formuliert: Solltet ihr ein unverschlüsseltes WLAN-Netz nutzen und euch hier über eine der 111 fraglichen Anwendungen in euer Profil beim Online-Shop, bei der Web-Community oder im Eltern-Forum einloggen, könnten die Netzwerkbetreiber eure Logins aus den übertragenen WLAN-Paketen auslesen.
Die kritisierten Anwendungen weisen allesamt die selbe Schwachstellen auf: Anstatt auf Apples App Transport Security zu setzen und sich ausschließlich mit HTTPS-Servern zu verbinden, setzen viele Anwendungen noch auf die unverschlüsselte Kontaktaufnahme mit den eigenen Servern.
Die ZEIT berichtet also nicht etwa über neue Risiken bei der Nutzung von iPhone- und iPad-Anwendungen, sondern über einen hinlänglich bekannten Kritikpunkt in zahlreichen iOS-Applikationen, der auf technische Altlasten und die Bequemlichkeit mehreren App-Anbieter zurückzuführen ist.
Bereits 2015, nur wenige Wochen nachdem Apple die Entwickler-Community um die Nutzung der „App Transport Security“ bat, berichteten wir über einen Hilfe-Artikel in der Support-Datenbank des Online-Riesen Google. Statt die Sicherheitsvorkehrungen Apples mit entsprechenden Anleitungen zu stärken beschrieb Google damals, wie sich der von iOS 9 implementierte Zwang zur „App Transport Security“ umgehen lies.
Die Ursache war offensichtlich: Die Branche war noch nicht ausreichend auf Apples neuen Sicherheitsstandard vorbereitet. Die Apps vieler Entwickler waren darauf angewiesen mit vorhandenen Alt-Systemen zu kommunizieren, die nicht über Nacht umgestellt werden konnten. Google reagierte damals pragmatisch.
Entsprechend legte Apple die Einführung der sogenannten App Transport Security (ATS) im Dezember 2016 vorerst auf Eis.
Die zur Veröffentlichung von iOS 9 vorgestellte Neuerung und die Ansage, neue iOS-Anwendungen nur noch dann in den App Store aufzunehmen, wenn diese ihre Netzwerkzugriffe über verschlüsselte HTTPS-Verbindungen aufbauen würden, wurde ausgesetzt. Apple erklärte damals, dass man sich sich zu dem Schritt entschlossen habe, um der Entwickler-Community mehr Zeit zum Umbau ihrer Anwendungen zu geben.
Cupertino weiß also bescheid und besteht vorerst nicht auf die ATS-Integration. Hier hängt sich die ZEIT auf und schreibt:
Ob die Entwickler aller 111 betroffenen Apps valide Gründe genannt haben, ATS zu ignorieren, oder ob es im Überprüfungsprozess von Apple Schwächen gibt, bleibt unklar. Apple will sich auf Anfrage von ZEIT ONLINE nicht dazu äußern.
Hihi kann mal jemand die Zeit App checken?
Mal wieder ein Beitrag gegen Apple. Die Apps sind zu unsicher, Apple hat die Größte Schuld daran…
Sicher ist der Kritikpunkt gerechtfertigt, aber hier wird in dem Artikel der Zeit eine Stimmung aufgebaut, die einen glauben lassen soll, dass es gefährlich ist diese Apps und das Apple-Ökosystem zu nutzen.
Wenn man seriös sein möchte, dann hätte man zum Fazit mal noch ein paar Vergleiche zu Android machen müssen, denn es ist ja immer noch so, dass in Android evtl nicht die App die größte Schwachstelle ist, sondern in den meisten Fällen die einfach uralten Android Versionen, welche keine Patches mehr bekommen.
Auch die Aussage, dass sich Apple dazu nicht äußern will, kann ich verstehen. Man muss ja nicht jedem (ausländischen) Käseblatt eine Auskunft geben, evtl einer Fachzeitschrift/Fachwebsite, aber nicht jedem Dahergelaufenen.
Naja. Zum einen ist die Zeit nun alles andere als ein Käseblatt, zum anderen macht der Autor sehr wohl darauf aufmerksam, dass das Problem bei Android genauso bestehen dürfte, er sich hier aber nunmal iOS angesehen hätte. Und den Hinweis auf Apples sonst ja sehr prominent vorgetragene Sicherheitsinteressen finde ich durchaus berechtigt.
Die Zeit ist ein Käseblatt. Eine Gazette trifft es noch besser. Ich habe da Jahre an Erfahrung als Abonnent. Und dieser Artikel bestätigt das nur ein weiteres mal.
Und welche Apps sollen das jetzt sein?
Das wäre auch interessant. Ich würde denen gern mal Mails schicken, damit diejenigen wissen, dass (Teile) ihrer Nutzer sichere Kommunikation durchaus wichtig ist.
Jetzt zu lasch und nächstes mal zu streng. Grundsätzlich liegt es doch an den App-Entwicklern die Massnahmen zur Sicherheit ihrer Benutzer so rasch wie möglich umzusetzen. Egal welches OS.
In den alten Medien ist der Autor halt nicht verantwortlich, sondern der Kiosk der die Zeitung verkauft hat. Oder doch nicht?
Entwickel mal einen Alexa Skill, der auf fremde Server zugreifen will…
Man kann als Unternehmen etwas durchsetzen, wenn man nur will.
Die Fehler Apples gegen die zu kurze Produktzyklen von Android aufzuwiegen, wie es hier getan wird bringt niemanden weiter. Beides ist doof!
Amazone bietet glaub seit iOS9 einen entsprechenden Code für ATS.
Das ist aber so nicht richtig. Wer den Artikel bei der Zeit gelesen hat weiß, dass es Apps gibt, welche HTTPS nutzen, allerdings dann beim Zertifikat, bzw. der Authentifizierung des Servers schlampen.
und warum werden die Apps nicht genannt , wenigstens die Prominenten Apps
Die Sicherheit einer App jetzt an https festzumachen ist sowieso – ohne nen Bezug zu nennen – totaler Kokolores.
Es sei den, es erklärt mir jetzt einer schnell jemand wie man zum Bsp. ein offizielles Zertifikat für eine IP aus dem lokalen Segment bekommt.. bei einem Gerät mit lokaler IP (NAS/Videorecorder/etc.) würde man das aber brauchen.
Auch eine Kommunikation mit Geräten die überhaupt nicht über Webdienste laufen.. direkte Kommunikation mit Geräten (svdrp), ftp & Co. ..
Mal abgesehen das die immer hoch gelobten Let’s Encrypt Zertifikate fürn Safari okay sind, aber nicht für die app transport security.
Es muss also nicht mal der Entwickler schuldig sein, evtl. geht’s halt technisch einfach nicht.
(VPN davor und gut)
Ich ergänze noch Zugriff auf Podcasts… Podcasts hinter einem https-Feed können immer noch Probleme machen wenn sie auch im Apple-Verzeichnis gelistet sein sollen (oder das inzwischen mal gelöst das Problem?)
Verlinkt doch bitte die Quelle:
https://www.youtube.com/watch?v=SvYMlU12V5E
Informationen aus zweiter Hand und so…