Gefahr in freien WLANs
Verschlüsselungs-Schwachstelle trifft mehr als 70 bekannte Apps
Will Strafach hat sich als iPhone-Hacker einen Namen gemacht und arbeitet mittlerweile als anerkannter Sicherheitsexperte. In einer aktuellen Veröffentlichung beschreibt Strafach eine kritische Schwachstelle, die das Ausspähen persönlicher Daten erlaubt und bereits in mehr als 70 bekannten iOS-Apps gefunden wurde.
Bild: Twitter
Strafach hat mit verify.ly kommerzielles Angebot zur Analyse von iOS-Anwendungen am Start. Mit eben diesem Werkzeug konnte er nun aufdecken, etliche teils namhafte iOS-Anwendungen nicht ausreichend gegen sogenannte Man-in-the-Middle-Angriffe geschützt sind. Konkret lassen sich aufgrund der von Strafach entdeckten Schwachstelle Informationen, die eigentlich verschlüsselt und vor Fremdzugriff geschützt übertragen werden sollten, durch Unbefugte auslesen. Strafach betont, dass ein Programmierfehler innerhalb der Apps die Ursache ist und Apple somit keinerlei Möglichkeit habe, die Schwachstelle seinerseits zu beheben.
Die Namen der von ihm ausgemachten stark gefährdeten Apps will der Sicherheitsforscher erst veröffentlichen, nachdem seit der bereits erfolgten Benachrichtigung der Entwickler ein angemessener Zeitraum vergangen ist. Diese sollen die Möglichkeit haben, ihrerseits entsprechend nachzubessern, ohne dass die Nutzer durch eine frühe Veröffentlichung der Namen zusätzlich gefährdet werden. Eine Liste mit weniger stark gefährdeten Apps beinhaltet beispielsweise mehrere Upload-Tools für Snapchat, Banking-Apps und Webcam-Tools.
Als Sicherheitsratschlag für Endnutzer empfiehlt Strafach besondere Vorsicht bei der Nutzung von öffentlichen und freien WLAN-Netzen. Für sensible Anwendungen solle man das WLAN besser deaktivieren und statt dessen das Mobilfunknetz nutzen, die Missbrauchsgefahr ist hier aufgrund der damit verbundenen hohen technischen Hürden deutlich geringer
.
Da wurde doch sicher wieder bei der Zertifikatsvalidierung geschlampt. Manche lernen es halt nicht. Apple hat hier sogar eine Möglichkeit die Zügel anzuziehen, aber sie haben die Frist ja neulich gerade wieder verschoben. :(
Bitte um Beweise, Berichte oder sonst was, das deine Aussage stützt?
Hilft es die WLAN Verbindung mittels vPN abzusichern wenn man in freien/ öffentlichen WLAN Netzen unterwegs ist?
Frage ich mich auch. Nutze jedenfalls immer VPN.
Lies mal die Hinweise von Strafach durch! Neben Banking Apps sind auch einige VPN Apps betroffen.
wo steht da etwas von betroffen VPN apps?
Läuft die VPN Verbindung nicht auch wieder über irgendwelche Server von denen keiner so richtig weiß was da alles so gespeichert wird? Ich würde über eine VPN Verbindung jedenfalls kein Banking etc. machen.
Du kannst auch eine VPN-Verbindung zu deiner FritzBox oder Synology oder was auch immer in deinem Heimnetz aufbauen.
Das geht leider nicht immer -> Bei Unitymedia ist VPN unter normalen Umständen nicht möglich.
Was meinst du damit? Bei mir funktioniert das mit UM und der Fritzbox 6360 cable sehr gut.
Ja, über ein VPN wird die gesamte Kommunikation verschlüsselt. Du musst nur sicherstellen, dass dein iPhone auch damit verbunden bleibt und die VPN-Verbindung bestehen bleibt. Das erreichst du über ein Profil, das du in deinem iPhone installieren kannst. Hier gab es auch mal einen Artikel dazu, mit Schritt-für-Schritt Anleitung.
So ist es!
Naja. Vpn ist erstmal nur ne technik fuer tunneling. Es kommt drauf an wo der tunnel rauskommt. Wenn das bspw am privaten dsl anschluss rauskommt koennen nur mitglieder des anschlusses mitlesen. Bei anderen vpn anbietern bin ich mir da nicht so sicher. wenn der tunnel quasi einfach irgendwo im internet rauskommt.
Wer in einem fremden WLAN (ob offen oder gesichert) sensible (passwortgeschützte) Daten austauscht, dem ist sowieso nicht mehr zu helfen. Banking o.ä. ist für mich in diesen Netzen sowieso gänzlich tabu.
Wenn es nicht anders geht, „muss“ man sich als Minimalschutz für ein paar € einen VPN-Zugang bzw. Tunnel zulegen.
Denkst du echt, der Laie (aka Otto Normalverbraucher) weiß das?
Diese Ausrede ist seit mindestens 5 jahren nur noch peinlich und zaehlt nicht mehr. Wer seit seinem Smartphone nicht dazugelernt hat (und ja das beschriebene sind Basics) dem ist – wie schon gesagt – nicht mehr zu helfen.
Insgeheim habe ich solche Schwachstellen schon in einigen Apps mit WebKit vermutet. Beachtlich ist die Aussage, dass Apple keine Möglichkeiten hat die Schwachstelle zu fixen. Und schwups bietet der Entdecker gleich noch ein Werkzeug zum Test von Apps die betroffen sein könnten an. Genial! Nur warum ist Apple das noch nicht aufgefallen?
Hä? Ich glaube du musst dir den Artikel nochmal durchlesen.
Da steht dass die Entwickler selbst schlampen. Was soll da Apple gegen tun? Und wenns alles an einem Kit hängt ist der Hersteller verantwortlich. Sonst niemand
Ich gehe stark davon aus das hier kein User dabei ist der Hotspots benutzt. Wir alle kennen die Gefahr und sollten dies in unseren Kreisen auch kommunizieren. Schwierig aber bitte nicht müde werden. Die größte Sauerei ist und bleibt aber, das Unternehmen wie Unitymedia order die Telekom solche Hotspots mit in ihre Tarife integrieren. Der User muss sie nicht nutzen aber der User sagt sich doch auch: DAFÜR ZAHLE ICH, DRUM NUTZE ICH ES AUCH. Was Menschen nicht sehen, gibt es nicht! Das ist unsere Natur. Hier muss immer wieder geradezu jeder einzelne genervt werden.
sicher nutze ich hotspots – warum auch nicht!
ich bezahle apple dafür ein sicheres system zu erzeugen – will mir dann auch nicht noch ständig einen kopf machen müssen.
hast du den Text gelesen?
der Fehler liegt nicht bei Apple
sondern bei den Programmierern der jeweiligen Apps
Wie zu lesen ist, kann Apple nichts dafür, sondern die jeweiligen Programmierer der Apps.
@fräuleins
@fräuleins: schon gelesen, dass es nichts mit dem iOS zu tun (also nicht in Apples Verantwortung) sondern ausschließlich mit der App selbst und einem Programmierungsfehler im Code der App…
Hier kann Apple, wie du oben sicher gelesen hast, aber leider absolut nichts tun.
Und im Endeffekt ist scheißegal wer die Sicherheitslücke produziert – Sie ist da. Und man könnte argumentieren, das Apple mehr auf Sicherheitslücken achten könnte – Apple macht ja eh CodeReviews.
Allerdings könnte zumindest nicht ich die Folgen absehen – Vermutlich ein rasantes Sterben von Apps, da die Entwickler extrem viele Ressourcen auf Sicherheit legen müssten. Außerdem viel längere Update-Release-Zeiten.
Telekom-Hotspots sind verschlüsselt. Nur mit Code kommt man da rein!
Die Vodafone Home- und Hotspots sind auch nur via Anmeldung und Passwort zu benutzen.
Telekom-HotSpots sind unverschlüsselt. Die Authentifizierung dient nur der Abrechnung und Störerhaftung.
Man kann Telekom VPN-Server nutzen, aber wer weiß das schon, bzw. wer macht das schon.
@spi -> source please
Die ersten beiden Sätze unter dem Foto sollten nochmal Korrektur gelesen werden… (+ „ein“, + „dass“).
Komm du bekommst ein *sternchen*
Ich benutze unterwegs gelegentlich Homespots, also das WLAN-Netz anderer.
Ich hoffe, dass die sicher(er) sind.
Wenn jeman dazu sicherheitsrelevante Infos hat, bin ich ganz Ohr.
Grüße
Die SOLLEN laut Anbieter (unitymedia und co) sicher sein und komplett von den jeweiligen Anschluessen getrennt sein.
Zumindest braucht man als Privatperson mit einem iPhone nicht wirklich eine VPN nutzen. Das iPhone verschlüsselt schon sehr gut seine Datenverbindungen. Gerade was die Apple-Dienste angeht, iCloud, iMessage, also auch Apps wie Pages oder auch Notizen … alles verschlüsselt. Beim Safari sollte man in öffentlichen Hitspots aber auf das httpS achten! Und hier sehe ich das Einzige was mir aufstößt: Apple hatte alle Entwickler dazu gebeten, dass deren Apps Datenverbindungen über HTTPS laufen lassen. Viele nutzen aber heute noch nur HTTP. Apple hat hier dann erst vor kurzen einen Rückzieher gemacht und die Empfehlung aufgegeben. Warum auch immer. Somit kann man wirklich nur bei Apple Apps sicher sein.
Schön wäre eine Funktion in jedem WLAN eine VPN Verbindung automatisch herzustellen. Außer in ausgewählten wie Zuhause, bei Freunden etc.
Habe Kabel Deutschland. Bei mir war das mit einem einzigen Anruf möglich den DS-Lite-Tunnel zu deaktivieren und einen vernünftigen VPN Zugang zu bekommen.
mein VPN klammert die https-Verbindungen (zB banking) explizit aus.
Ich nutze freedome. Ist das nur da so, oder grundsätzlich bei kommerziellen VPNs?
Wo steht, dass Freedome VPN https ausklammert?
Was ist hiermit? Oder heißt das nur, dass sie es nicht entschlüsseln, aber trotzdem alles – dann quasi doppelt – verschlüsselt versenden?
https://community.f-secure.com/t5/F-Secure/What-is-Tracking-Protection/ta-p/81921
Ist doch immer das Gleiche. „bereits in mehr als 70 bekannten iOS-Apps“, aber Namen werden wie immer nicht genannt. Damit die Entwickler das Problem selbst beheben können. Warum dann überhaupt an die Öffentlichkeit treten? Ich bin diese Panikmache mehr als leid.
Wenn die User nicht von alleine lernen, muss man halt so Aufmerksamkeit schaffen. Was hilfts wenn von den 70 apps jeder Unwissende nur eine oder keine installiert hat? Nix, dann denkt jeder „betrifft mich nicht“.