Abo
  • Services:
Anzeige
Peter Frühwirt und Sebastian Schrittwieser zeigen, dass Entwickler sich kaum um die Sicherheit ihrer Apps kümmern.
Peter Frühwirt und Sebastian Schrittwieser zeigen, dass Entwickler sich kaum um die Sicherheit ihrer Apps kümmern. (Bild: Jörg Thoma/Golem.de)

Protokollanalyse: Mogeln im Quizduell

Entwickler verlassen sich zu sehr auf HTTPS und verzichten auf grundlegende Sicherheitsmaßnahmen. Über eine Man-in-the-Middle-Attacke konnten Security-Forscher in den Datenverkehr zwischen App-Server und Apps hineinsehen - und entdeckten Sonderbares.

Anzeige

Die Angriffsmethode ist seit langem bekannt, aber sie wird immer noch von zahlreichen Entwicklern ignoriert: Über einen Man-in-the-Middle-Angriff haben sich die beiden Sicherheitsforscher Peter Frühwirt und Sebastian Schrittwieser aus Österreich in den Datenverkehr zwischen App-Server und Smartphones eingeklinkt und teils sonderbare Schwachstellen entdeckt. Ihr Fazit: Die Entwickler vertrauen noch zu sehr darauf, dass HTTPS ausreichend Schutz vor Protokollanalyse bietet.

Spätestens seit Bekanntwerden der Goto-Lücke unter iOS und Mac OS X sowie in Linux-Anwendungen müssten Entwickler gewarnt sein. Mit einem gefälschten Zertifikat auf einem Client sind viele HTTPS-Verbindungen nicht mehr sicher. Denn nach dem Chain-of-Trust-Prinzip muss für viele Server lediglich ein vertrauenswürdiges Root-Zertifikat vorliegen.

Teils lustig, teils beängstigend

Was sich offenbart, wenn sich der HTTPS-Datenverkehr mitschneiden lässt, präsentierten Frühwirt von dem Sicherheitsunternehmen SBA Research und Schrittwieser von der Fachhochschule St. Pölten auf der Sicherheitskonferenz Troopers 14 in Heidelberg. Dabei zeigten sie auch merkwürdige und lustige Fehler. Aber selbst der Datentausch zwischen Clients und einigen Banken sei durch Man-in-the-Middle-Angriffe verwundbar, warnen die Forscher.

Für ihre Analyse verwendeten Frühwirt und Schrittwieser den Proxy-Web-Debugger Charles. Dessen Root-Zertifikat installierten sie zu Demonstrationszwecken auf einem iPhone. Der Proxy leitete dann Daten von dem Smartphone zum App-Server und zurück. Wegen des aus dem Web übernommenen Chain-of-Trust-Prinzips wunderte sich der jeweilige Applikationsserver nicht über die neu zertifizierte Verbindung. Schließlich vertraute der Client ja bereits dem Charles-Zertifikat.

Antworten mitgeliefert

Jetzt offenbarte sich Frühwirt und Schrittwieser, welche Daten Apps und Server sich hin- und herschicken. Quizduell zum Beispiel: Dort lässt sich großartig mogeln. Denn vom Server werden die korrekten Antworten im Klartext direkt auf das Smartphone übermittelt bevor der Nutzer antwortet und nicht mit dem Server per Token abgeglichen.

Dass solche Einblicke in das Protokoll selbstverständlich auch die Privatsphäre verletzen können, zeigt ein anderes Beispiel. Frühwirt und Schrittwieser konnten anhand der Nummerierung in einer Fototausch-App ein bestimmtes Muster erkennen. Sie luden daraufhin die ersten Fotos herunter, die mit der App gemacht wurden. Sie waren höchstwahrscheinlich von dem Entwickler selbst, von seinem Laptop, von seinen Füßen und von seinem Auto. In einem anderen Fototauschdienst filterten die beiden nach Fotos von über 18-Jährigen und fanden fast ausschließlich männliche Nackt-Selfies.

Gegenmaßnahmen

Eine Maßnahme gegen falsche Zertifikate wäre das sogenannte Zertifikat-Pinning. Dabei akzeptiert der Server nur sein eigenes Zertifikat, das dann allerdings mit der App ausgeliefert werden muss. Unter Android wäre es möglicherweise ein Leichtes, das Zertifikat-Pinning zu umgehen. Auch unter iOS habe es bereits Probleme damit gegeben, geben die beiden Forscher zu bedenken. Ohnehin verwendet lediglich einer von vier Entwicklern der von den beiden untersuchten Apps die zusätzliche Sicherheitsmaßnahme. Selbst viele Banken verzichten darauf.

Eine weitere Möglichkeit wäre die Verifizierung der Daten über einen sicheren Seitenkanal. Am Beispiel der öffentlichen Verkehrsgesellschaft Wiener Linien erklären Frühwirt und Schrittwieser, dass auch das nicht immer konsequent umgesetzt werde. Trotz ausreichend fälschungssicherem 2D-Barcode hätten die meisten Kontrolleure gar keinen geeigneten Scanner dabei.

Der Rat der beiden Forscher: Entwickler sollten niemals dem Client vertrauen. Jede Anfrage des Clients sollte vom Server auf seine Gültigkeit überprüft werden.


eye home zur Startseite
mcbigelo 03. Apr 2014

Ich habe diese News zum Anlass genommen und ein script geschrieben welches ein verlieren...

Its_Me 21. Mär 2014

Also ich habe die App sogar zweimal gekauft (iOS und Android), weil dann: 1.) Die Werbung...

wmayer 21. Mär 2014

Könnte man nicht die Daten die übertragen werden selber verschlüsseln? Ist nur fraglich...

kaffepause 21. Mär 2014

Weil ständig neue Fragen hinzukommen und dadurch nicht ständig ein update gemacht werden...

AllDayPiano 21. Mär 2014

Mit Verlaub: Genauso bescheuert.



Anzeige

Stellenmarkt
  1. adesso AG, Dortmund, Frankfurt am Main, Stuttgart, Köln, München
  2. Daimler AG, Sindelfingen
  3. Dürr IT Service GmbH, Bietigheim-Bissingen
  4. moovel Group GmbH, Stuttgart


Anzeige
Spiele-Angebote
  1. 69,99€
  2. 6,99€
  3. 5,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  2. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  3. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  4. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  5. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  6. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  7. Internetzensur

    China macht VPN genehmigungspflichtig

  8. Hawkeye

    ZTE will bei mediokrem Community-Smartphone nachbessern

  9. Valve

    Steam erhält Funktion, um Spiele zu verschieben

  10. Anet A6 im Test

    Wenn ein 3D-Drucker so viel wie seine Teile kostet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

  1. Re: Rollenspiele sind out

    divStar | 02:01

  2. Re: AOSP ist besser geworden?

    Pjörn | 01:59

  3. Re: Selten so einen schlechten Artikel bei Golem...

    blaub4r | 01:26

  4. Re: Zu schwer? Kontrollierte Beschleunigung würde...

    nachgefragt | 01:18

  5. Gilt wohl nur für offizielles LOS

    Wortschütze | 01:15


  1. 18:19

  2. 17:28

  3. 17:07

  4. 16:55

  5. 16:49

  6. 16:15

  7. 15:52

  8. 15:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel