Stand: 02.11.2017 13:23 Uhr | AutorIn: Eva Köhler

iPhone-Apps lassen Angreifer Passwörter auslesen

111 von 200 der beliebtesten, kostenlosen Apps im AppStore seien unsicher, warnt ein IT-Spezialist. Angreifer könnten die Zugangsdaten auslesen - wenn ihr zum Beispiel im Zug oder Café im WLAN surft.

App installieren, Nutzerkonto anlegen, anmelden: Ein Standard-Prozess, in dem ein Hamburger IT-Experte jetzt Fehler gefunden hat, die Angreifern unsere Passwörter und E-Mail-Adressen verraten könnten. Das berichtet Zeit Online. Schwachstellen mit fatalen Folgen. Galten Apps aus Apples AppStore bisher doch als sicherer als solche für Android-Telefone.

iPhone-Apps: Passwörter auslesen möglich

Mehr als die Hälfte der Apps, die der Hamburger IT-Experte Thomas Jansen überprüft hat, können Nutzer ausspionieren. Jansen, der sich die 200 beliebtesten und kostenlosen Anwendungen im AppStore angesehen hat, hat die Sicherheitsprobleme, die Angreifer Passwörter auslesen lassen, in immerhin 111 von 200 Apps (Stand: Ende September) gefunden. Unter anderem sind auch bekannte Apps wie ImmoScout24 und AutoScout24 sowie die Kleidungsshopping-App Shein betroffen. Und auch Microsofts Outlook-App war unsicher - der Konzern hat aber schnell reagiert und die Sicherheitslücke bereits behoben.

Weitere Informationen

Online-Shopping: So sicher sind die Bezahl-Angebote

07.06.2017 14:20 Uhr

So funktionieren Sofort Überweisung und Co.: Wir erklären euch, welche Bezahldienste im Internet sicher sind und welche Vor- und Nachteile sie haben. mehr

Passwörter klauen über iOS-Apps: Wie funktioniert der Angriff?

Die Voraussetzung, damit Hacker die Sicherheitslücke ausnutzen können: Ihr surft in einem öffentlichen WLAN - im Zug, im Café oder am Arbeitsplatz. Der Angreifer muss im gleichen Netz wie ihr surfen - also mit euch im Zug oder Café sitzen. Dann kann er, dank der Schwachstellen in den iOS-Apps mitlesen, was ihr macht und im Zweifel sogar Zugangsdaten wie Passwörter und Mail-Adressen abgreifen.

Wie das genau funktioniert? Wenn ihr euch in einer App anmeldet, passiert normalerweise das:

  1. Der Nutzer meldet sich mit E-Mail-Adresse und Passwort an.
  2. Die App sendet die Zugangsdaten verschlüsselt an einen Server.
  3. Der Server und App tauschen ein "Codewort" aus - ein Sicherheitszertifikat -, das sicherstellt, dass die App, die Echte und der Server der Richtige ist.
  4. Der Server prüft dann die Zugangsdaten.
  5. Stimmen Passwort und Nutzername, ist der Nutzer eingeloggt.

Weitere Informationen

Gefahr durch WLAN-Lücke kleiner als vermutet

17.10.2017 14:20 Uhr

WPA2 schützt uns beim Surfen im WLAN vor den Blicken Fremder. Forscher haben nun eine Lücke in der Schutz-Technologie gefunden, mit der sie Passwörter auslesen können. Doch die Gefahr ist kleiner als vermutet. mehr

Jansen hat unter Anderem zwei Szenarien entdeckt, wie Hacker sich zwischen die App und den Anbieter schmuggeln können, um euch auszuspionieren:

Bei der Kleidungsapp Shein fragt die App dieses "Codewort" nicht ab. Dadurch können Hacker, die im gleichen WLAN surfen wie der Nutzer, die Daten abfangen und auch entschlüsseln. In diesem Fall verschlüsselt die App zwar, doch die Verschlüsselung ist wirkungslos, sobald Angreifer an die Passwörter und Nutzerdaten möchten.

Ein anderer, häufiger Fall, erklärte Jansen N-JOY gegenüber: Viele Apps, wie auch die ImmoScout24- und AutoScout24-App verschlüsseln gar nicht. In diesem Fall überträgt die App alles, was ihr anklickt oder eingebt, im Klartext an den Server. Hier sei es sogar möglich, dass Angreifer gefälschte Anmelde-Seiten in die App einschleusen. Meldet ihr euch hier an, übertragt ihr die E-Mail-Passwort-Kombination nicht an das Online-Portal, sondern an einen Hacker. Zwar hat der Konzern eine von drei Sicherheitslücken bereits behoben, trotzdem ist ein Angriff von außen immer noch möglich.

So schützt ihr euch vor fremden Blicken

Sicherheitstipp: Mit VPN sicher im offenen WLAN surfen

Wer in offenen Hotspots surft, der teilt seinen Surfverlauf auch mit allen anderen Nutzern. Hacker können hier private Daten wie zum Beispiel Chatverläufe mitlesen. Um die Bedrohung durch andere Nutzer in dem Massen-Netz-Zugang zu minimieren, gibt es Apps wie zum Beispiel Opera VPN, Avira Phantom oder F-Secure Freedom (kostenpflichtig).
Sie bauen ein sogenanntes "virtuelles privates Netz" (VPN) auf. Das funktioniert wie eine Umleitung auf der Autobahn. Alle fahren am Blitzer vorbei, nur ihr nicht - ihr fahrt statt auf der Autobahn auf einer weniger befahrenen Landstraße. So funktionieren die VPN-Apps. Ihr surft einfach auf der Umleitung, so kann euch keiner sehen und ihr surft sicher - auch in offenen Hotspots.

iPhone-Apps: Wie gefährlich ist das?

Dreh- und Angelpunkt der Sicherheitslücke ist ein öffentliches, freizugängliches WLAN. Hier können Hacker relativ schnell Daten abfangen. Doch in den Apps fehlt ein grundsätzlicher Sicherheitsstandard, der in Onlineshops längst normal ist. Hier wissen die Nutzer: nur wenn "https" (das "s" steht für "secure") im Browser steht, sind die Seiten sicher und die Passwörter vor fremden Blicken geschützt. Einige App-Entwickler, das zeigen die Ergebnisse von Jansen, halten sich nicht an diesen Standard. Um euch vor fremden Blicken zu schützen: Installiert eine VPN-App. Viele davon gibt es kostenlos - sie schließen Angreifer aus, auch wenn ihr in einem öffentlichen WLAN surft.

 

Weitere Informationen

So bastelt ihr euch ein sicheres Passwort

10.08.2017 13:50 Uhr

Für jeden Dienst sollen Nutzer zum Schutz vor Hackern ein anderes Passwort verwenden. Macht aber niemand, weil wir uns das gar nicht merken können. Mit diesem Trick geht's aber. mehr

9 Tipps, wie ihr euer Smartphone schnell sicher macht

02.01.2017 14:20 Uhr

Einmal zwei Stunden investieren, dann ist das Handy fit fürs neue Jahr! Wir verraten euch die wichtigsten Kniffe, um euer Smartphone sicher zu machen! mehr

 

Dieses Thema im Programm:

N-JOY | 02.11.2017 | 14:20 Uhr

Multimedia - Neues aus der digitalen Welt

Welches Video ist angesagt? Was gibt's Neues von Facebook? Auf welche Technik-Highlights können wir uns freuen? In der Netzwelt gibt's topaktuell News und Hintergrundwissen aus der digitalen Welt. mehr

Die lustigsten 404-Seiten im Netz

24.04.2015 13:05 Uhr

Hillary Clinton beweist Humor und Kreativität - mit der "404"-Fehlerseite auf ihrer Website. Wir haben euch noch mehr kreative und lustige Fehlerseiten aus dem WWW gesucht. mehr

N-JOY
#

Lieblingssong? Teilen!
Achtung. Beim Klick auf das Facebook-Icon wird eine Verbindung zu Facebook hergestellt. Dabei werden bereits Daten an Facebook übertragen.
Songtitel posten: Facebook
09:00 - 12:00 Uhr  [Webcam]