Skycure schlägt Alarm: Sicherheitslücke in iOS-Apps

Apple, Apps, App Store, Appstore Bildquelle: Apple
iOS-Apps, die sich Updates von einem Server ziehen, sind potentiell gefährdet: Aus einer Veröffentlichung des israelischen IT-Unternehmens Skycure geht hervor, das sich Hacker über ein HTTP-Request-Hijacking Zugang verschaffen können.
Vor allem bei typischen Nachrichten-Apps ist die grobe Sicherheitslücke aufgetaucht. "HTTP-Request-Hijacking", kurz HRH, beschreibt die Entführung von HTTP-Anfragen.

Dabei kann in einem ungeschützten Wlan die Anfrage von einer App an einem Server abgefangen werden. Ein Hacker schaltet sich dazwischen, und sendet dann einfach seine eigene Rückantwort zurück und kann so Manipulationen vornehmen. Denkbar sind eingeschleuste Falschnachrichten, falsche Börsenkurse oder auch ein einfaches Ausschalten der App-Nachrichtenfunktion. Das alles wäre noch recht harmlos, könnte aber schon für ein ordentliches Chaos sorgen. Ebenso denkbar ist es aber auch, dass die Sicherheitslücke dafür genutzt wird, Zugriff auf fremde Geräte zu bekommen.

Das Ganze läuft so ab:
Das HTTP Request Hijacking startet mit einem so genannten Man-in-the-Middle-Angriff. Dabei fängt der Hacker die Anfrage über das Wlan ab und sendet den HTTP-Statuscode 301 (Moved Permanently) zurück. Anschließend sendet der Hacker als Man-in-the-Middle seine Botschaft. Die App "denkt" die Antwort kommt vom abgefragten Server.

In der App selbst kann man das zumeist gar nicht sehen, denn es würde normalerweise über die Browserzeile angezeigt werden, wenn es eine Umleitung der Anfrage gibt. Genau diese fehlt aber in den meisten Apps, die Skycure untersucht hat. Sobald die Anfragen über HTTPS gehen, besteht aktuell kein Grund zur Panik, dann haben Hacker noch keine Möglichkeit, die Anfrage zu kapern. Denkbar wäre es aber, die verschlüsselte Verbindung zu unterwandern.

Laut Skycure könnten gut 10.000 Apps aus Apples App Store betroffen sein, denn wenige Nachrichten-Apps senden über das sichere Übertragungsprotokoll. Apple, Apps, App Store, Appstore Apple, Apps, App Store, Appstore Apple
Mehr zum Thema: Apple iOS
Diese Nachricht empfehlen
Kommentieren16
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 19:35 Uhr Synology DS716+II/2TB-RED NAS-System
Synology DS716+II/2TB-RED NAS-System
Original Amazon-Preis
627,36
Im Preisvergleich ab
502,00
Blitzangebot-Preis
503,20
Ersparnis zu Amazon 20% oder 124,16

iPhone 7 im Preisvergleich

Tipp einsenden