Bitdefender-Studie: iOS-Apps haben teils erhebliche Sicherheitslücken

Apple-Anwendungen verschlüsseln sensible Nutzerdaten unzureichend und lesen Gerätenummern aus

[datensicherheit.de, 15.08.2012] Kürzlich analysierte Bitdefender im Rahmen einer Studie, dass eine Vielzahl von iOS-Apps exorbitante Mängel in puncto Sicherheit aufweist. Dazu zählt beispielsweise die Management App Leads 360, die die Zugangsdaten der User nicht ausreichend schützt und Hackern damit Tür und Tor zu den Web-Accounts der Anwender öffnet. Eine weitere Anwendung, die Sicherheitslücken aufweist, ist Mountainbike Lite. Diese soll angeblich die Datenverwaltung auf dem iPhone sicherer machen, speichert jedoch die Gerätenummer des Smartphones durch so genanntes „UDID Tracking“.
Bitdefender möchte Nutzer von iOS-Apps mit Hilfe dieser Studie darauf aufmerksam machen, inwiefern ihre vertraulichen Daten missbraucht werden können. Mehrere Apps greifen beispielsweise auf Social-Network-Accounts der User zu und lesen sensible Informationen aus. Zudem dringen verschiedene Anwendungen in die Privatsphäre der User ein, da sie via Tracking-Funktion den genauen Standort des iPhone-Besitzers lokalisieren können.

Passwörter werden nicht verschlüsselt

Als besonders unsicher fiel den Bitdefender-Experten die Anwendung Leads 360 auf. Die Lead-Management-App sichert die Zugangsdaten ihrer Nutzer nur unzureichend. Nachdem der User sein für den Log-in erforderliches Passwort eingegeben hat, wird es unverschlüsselt übermittelt. Unsichere Passwörter, die neben einem Wort keine Zahlen oder Zeichen enthalten, vereinfachen Cyber-Angreifern an diesem Punkt den Datenklau. Trotz des vermehrten Risikos ist die App jedoch bei den Anwendern äußerst beliebt, wie das hohe Rating im App-Store zeigt.

App späht Gerätenummer des iPhones aus

Eine weitere umstrittene App ist Mountainbike Lite. Sie verspricht ihren Anwendern eine höhere Sicherheit beim Verwalten ihrer Daten auf dem iPhone. Dazu verschlüsselt die Anwendung sämtliche Dateien. Allerdings werden die Zugangsdaten für das Konto zu dieser App nicht verschlüsselt. Falls der Nutzer für mehrere Accounts das gleiche Passwort verwendet, macht er sich dadurch angreifbar für weiteren Datenverlust über andere Accounts.
Mountainbike Lite liest darüber hinaus die UDID (Unique Device Identifier – Gerätenummer) des iPhones und speichert diese auf einem eigenen Server. Für welche Zwecke sie die Gerätenummer benötigen, geben die Entwickler in ihrer Benutzererklärung nicht an.
Nach Ansicht der von Bitdefender wäre es förderlich, wenn App-Entwickler vermehrt ein Augenmerk auf die Sicherheit legen und sich weniger auf neue Features und herausgeputzte User-Interfaces konzentrieren würden. Sie sind jedoch nicht dafür verantwortlich, wenn sich unvorsichtige Nutzer in ungeschützte Funknetzwerke einloggen oder für jeden ihrer Accounts das gleiche Passwort nutzen. Aus technischer Sicht verhalten sich die Apps, wie sie es sollen. Bitdefender weist allerdings darauf hin, dass die App-Entwickler vielleicht nicht immer die richtigen Maßnahmen ergreifen, um die Privatsphäre des Nutzers zu schützen.