Fauler Apfel: Zwei Drittel untersuchter iOS-Apps mit Sicherheitslücken

Passwörter, Fotos, Zahlungsdaten - all das liegt bei vielen iOS-Apps praktisch ungeschützt im Netz. Sicherheitsforscher haben jetzt aufgedeckt, wie massiv Entwickler von Apps für Apple-Geräte gegen elementare Schutzmaßnahmen verstoßen.
Apple, Sicherheit, Sicherheitslücke, Security, Fehler, Kriminalität, Virus, Exploit, Sicherheitsupdate, Wurm, Zero Day, Apfel, Makro, Obst, Verfall

Alarmierende Sicherheitslücken im App Store

Eine neue Untersuchung wirft ein schlechtes Licht auf die Sicherheit von iOS-Apps. Trotz Apples strengen Kontrollen weisen mehr als zwei Drittel der bei einer großen Untersuchung analysierten Anwendungen kritische Schwachstellen auf - genauer 71 Prozent. Im Durchschnitt gibt jede App mehr als fünf sensible Datensätze preis, die potenziell von Angreifern missbraucht werden könnten.

Das Forschungsteam von Cybernews konnte in seiner Analyse von 156.000 iOS-Apps weitreichende Probleme feststellen - das sind etwa 8 Prozent aller Apps im Apple Store. "Viele iOS-Entwickler machen es Hackern zu einfach", warnt Sicherheitsforscher Aras Nazarovas. So lägen API-Schlüssel und Datenbank-Zugänge oft unverschlüsselt im Programmcode.


Vereinfacht gesagt, ist es, als würde man den Hausschlüssel unter der Fußmatte an der Tür verstecken. Ein Angreifer muss lediglich nachsehen, um ungehinderten Zugang zu erhalten. Geheime Daten sollten niemals fest im Code einer App verankert sein.
Cybernews Sicherheitsforscher

Schwachstellen im Detail

Besonders problematisch sind die sogenannten "Storage Buckets" - Cloud-Speicherorte für Nutzerdaten wie Bilder und Dokumente. Bei 78.343 Apps fanden die Forscher entsprechende Zugangsdaten im Quellcode. Weitere 42.000 Anwendungen enthielten ungeschützte Datenbank-URLs, über die Angreifer potenziell auf E-Mails und Passwörter zugreifen könnten.

Die Untersuchung zeigt, dass Entwickler häufig gegen grundlegende Sicherheitsprinzipien verstoßen. Statt Zugangsdaten in geschützten Umgebungsvariablen oder verschlüsselten Konfigurationsdateien zu speichern, werden sie direkt in den App-Code eingebettet. Diese Praxis macht es Angreifern leicht, durch einfaches Dekompilieren der Apps an sensitive Informationen zu gelangen.

Besonders kritisch: Bei mindestens 836 Apps waren die Cloud-Speicher völlig ungeschützt zugänglich. Die Forscher fanden dort über 76 Milliarden exponierte Dateien mit einem Gesamtvolumen von mehr als 406 Terabyte. Darunter befanden sich auch hochsensible Daten wie Nutzerregistrierungen und App-Protokolle.

Es geht aber noch schlimmer: 19 der Apps enthielten Stripe-Schlüssel für Zahlungsabwicklungen. "Mit diesen könnten Angreifer Zahlungen und Rückerstattungen auslösen sowie auf Rechnungsadressen, Namen und Zahlungsinformationen zugreifen", erklärt Nazarovas. iOS-Sicherheit: Untersuchung von CybernewsCybernews findet viele Lücken

Schutzmaßnahmen für Nutzer

Für App-Nutzer ist es praktisch unmöglich, die Sicherheit einer Anwendung selbst zu überprüfen. Experten empfehlen daher:

  • Nur Apps von etablierten Entwicklern installieren
  • App-Berechtigungen auf das Notwendigste beschränken
  • Zurückhaltung bei der Eingabe persönlicher Daten
  • Regelmäßige Überprüfung und Löschung ungenutzter Apps

Wie geht ihr mit der Sicherheit eurer iOS-Apps um? Habt ihr bestimmte Kriterien, nach denen ihr Apps auswählt? Teilt eure Erfahrungen und Strategien in den Kommentaren!

Bedeutende iOS-Sicherheitslücken

  • 2015
    XCodeGhost: Eine Malware in iOS-Apps über manipulierte Xcode-Versionen, die Nutzerdaten an Server in China sendete
  • 2015
    Freak Attack: Schwachstelle in der SSL/TLS-Verschlüsselung, die es Angreifern ermöglichte, HTTPS-Verbindungen zu entschlüsseln
  • 2018
    Spectre & Meltdown: Sicherheitslücken in Hardware-Prozessoren, die durch spekulative Ausführung Informationen aus dem Speicher extrahieren konnten
  • 2019
    Checkm8: Eine "unpatchbare" Bootrom-Sicherheitslücke, die iPhones vom 4s bis zum X betraf und erweiterte Möglichkeiten für Jailbreaking ermöglichte
  • 2021
    Zero-Day-Exploits: WebKit-Schwachstellen, die Remote-Code-Ausführung ohne Nutzerinteraktion ermöglichten und mit iOS 14.5 gepatcht wurden

Zusammenfassung
  • 71 Prozent der untersuchten iOS-Apps weisen kritische Sicherheitslücken auf
  • Durchschnittlich gibt jede App mehr als fünf sensible Datensätze preis
  • API-Schlüssel und Datenbank-Zugänge liegen oft unverschlüsselt im Code
  • Bei 78.343 Apps wurden Zugangsdaten zu Cloud-Speichern gefunden
  • 836 Apps hatten völlig ungeschützte und frei zugängliche Cloud-Speicher
  • 19 Apps enthielten Stripe-Schlüssel für Zahlungsabwicklungen
  • Experten empfehlen Vorsicht bei App-Auswahl und der Dateneingabe

Siehe auch:
Thema:
Apple iOS
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Das iPhone 17 im Preisvergleich
iconHappy_Handy 846,71 € iconAmazon.de 848,00 € iconJoybuy 848,00 € iconMobilfunk-schreiber 849,90 € iconGalaxus 856,18 €
68 Angebote im WinFuture Preisvergleich
Alle iPhone-Varianten anzeigen
Beliebt im Preisvergleich
Handys ohne Vertrag Preisvergleich
Videos zum Thema iOS
  • Neueste
  • Beliebte
  • Empfehlung
Mehr iOS-Videos
Beiträge im Forum
Zum Smartphone-Forum
Weiterführende Links
Neue Nachrichten
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!