Android

Sicherheit: Auslesen von Daten Gang und Gebe unter iOS

Gern wird in Sachen Sicherheitsvergleich zwischen den mobilen Plattformen, insbesondere zwischen iOS und Android, die Sicherheit im Market herangezogen. So rühmt sich doch gerade Apple (und auch Microsoft) mit einer sehr strengen Zugangskontrolle für Apps. Blöd nur, wenn das Sicherheitsrisiko eine simple Programmfunktion ist und von Apple wissentlich geduldet wird, diese es aber wiederum echt in Sich hat.

So ist es laut verschiedener Quellen gängige Praxis, das Apps auf „Freunde finden“-Funktion oder vergleichbaren zugreifen können, welche wiederum Zugriff auf die kompletten Kontaktdaten des iOS-Gerätes hat. Das erste Mal publik wurde diese Funktion durch den Entwickler Arun Thampi, der das Verhalten der Social-App „Path“ analysierte. Nach der Installation der App und Registrierung bei dem Dienst sendete diese ungefragt sämtliche Kontaktdaten auf dem Gerät an den Hersteller. Es gab bis vor kurzem keinerlei Nachfrage ob dies überhaupt erlaubt werde vom Nutzer. Nach einer öffentlichen Entschuldigung wurde die Abfrage durch ein Update nachgeschoben.

Einem Bericht von „The Verge“ zufolge ist diese Funktion in sehr vielen iOS-Apps eingebaut, mal mit und mal ohne Nachfragen beim Benutzer. Zu den bekanntesten dürften alle Social-Media-Apps wie Facebook, Twitter, LinkedIn, Instagram, Gowalla und Foursquare gehören aber auch jede andere App ist potentiell dazu in der Lage und wird dies vermutlich auch tun. Bei den genannten Beispielen übertragen Path (seit dem letzten Update allerdings nicht mehr) und Foursquare ohne Nachfragen die Daten, bei Facebook und Twitter muss der Benutzer immerhin aktiv auf den „Freunde finden“-Button drücken, bevor ohne weitere Nachfrage die Daten übermittelt werden. Bei der Hipster-App wurden die Daten gar komplett unverschlüsselt über HTTP versendet.

Dabei wäre das Problem ganz leicht zu lösen, so der Entwickler Martin May. Die App-Entwickler müssten die zu übertragenden persönlichen Daten wie eine Telefonnummer oder eMail einfach durch einem Hashwert ersetzen, der dann übertragen und verglichen wird. Somit kann der Wert der übertragenen Informationen für einen Angreifer auf ein Minimum gesenkt werden. Das diese Vorgehensweise nicht längst von dem Groß der Entwickler genutzt wird liegt vor allem daran, das Apple nach wie vor die unsichere Methode erlaubt und auch nicht auf das potentielle Sicherheitsrisiko hinweist. VentureBeat kommentierte das mit der Aussage, das diese Vorgehensweise quasi ein „unausgesprochener Industriestandard“ geworden ist.

[Quelle: WinFuture.de]

Beitrag teilen:

Stefan

Mann mit Bart und Faible für Smartphones und Tablets jeder Plattform, doch eindeutig bekennender Androidliebhaber.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert