Und schon wieder haben Experten eine Schwachstelle in Apples Betriebssystem iOS entdeckt. Dieses Mal handelt es sich allerdings nicht um eine klassische Sicherheitslücke, sondern vielmehr um eine in manchen Apps verborgene Software, die unbemerkt und teils unverschlüsselt Daten der Nutzer sammelt und weiterleitet. Die Schwachstelle in iOS-Apps findet sich in vielen Anwendungen von teils bekannten Anbietern.
Screenshots mit privaten Daten werden teils unverschlüsselt weitergeleitet
Die von der Schwachstelle in iOS-Apps betroffenen Anwendungen verwenden eine Analyse-Software des Unternehmens Glassbox. Mit ihr können die Anbieter Nutzerdaten sammeln, die sie dazu verwenden, ihren Service weiter zu verbessern. Das Sammeln von Nutzerdaten ist eine gängige Vorgehensweise und wird gleichermaßen durch Android- und iOS-Apps realisiert. Allerdings erlaubt die Software von Glassbox Digital Analytics es zusätzlich, ohne das Wissen der Nutzer Screenshots zu machen und diese an Entwickler zu senden.
Die Screenshots werden automatisch und in teils wiederholtem Male aufgenommen, wenn Anwender eine mit der Software versehene App nutzen. Dabei erhalten die Entwickler auch Einblick über jede gedrückte Taste sowohl auf dem Bildschirm als auch auf der Tastatur – und das in Echtzeit. Das Verfahren nennt sich „Session replay“.
Das Problem dabei ist, dass so auch Aufzeichnungen von privaten Daten, Passwörtern oder gar Kreditkarten- oder Bankdaten gemacht und an Dritte weitergeleitet werden können. In den iOS-Apps findet sich allerdings kein Hinweis auf diese Vorgehensweise, sodass Nutzer darüber im Dunkeln bleiben. Und das macht die Schwachstelle in iOS-Apps so gefährlich.
[article_box articles=“1983″]
Schwachstelle in iOS-Apps: Diese Apps sind betroffen
Wie eingangs bereits erwähnt, nutzen viele, teils bekannte Anbieter die besagte Analyse-Software. Besonders von der Schwachstelle in iOS-Apps betroffen scheinen jedoch Reise-Apps zu sein. So findet sie sich unter anderem in den Anwendungen von Hotels.com, Expedia, Singapore Airlines und Air Canada. Aber auch in der App der Modemarken Hollister und Abercrombie & Fitch ist sie zu finden. Einige der Apps senden die Screenshots an ihre eigenen Server, andere leiten sie an die Cloud von Glassbox weiter. Auffällig ist, dass nicht alle Daten ausreichend verschlüsselt übertragen worden sind.
Die App von Air Canada haben die Experten von The App Analysis exemplarisch genauer unter die Lupe genommen. Wie sie herausgefunden haben, sendete sie nicht nur nicht ausreichend verschlüsselte Ausweisdaten der Nutzer weiter, sondern auch deren Kreditkartendaten. Laut den Experten könnten nicht nur die Mitarbeiter von Air Canada auf die Screenshots zugreifen, sondern auch diverse andere Entwickler oder gar Hacker.
[article_box articles=“305″]
Apple schreitet ein
Im Apple App Store gelistete Apps werden einer strengen Kontrolle unterzogen und müssen genaue Datenschutzbestimmungen vorweisen. Da die App-Anbieter die Analyse-Software von Glassbox allerdings optional verwenden können und die Software auch keine besonderen Systemrechte fordert, sind die Apps wohl durch das Raster gerutscht. So ist es auch nicht aufgefallen, dass ein entsprechender Hinweis über die Aufzeichnung der Nutzung in den App-Angaben fehlte.
Apple hat aber bereits auf die Hinweise zur Schwachstelle in iOS-Apps reagiert und die betroffenen App-Entwickler kontaktiert. Sie müssen nun unverzüglich nachbessern und Nutzer konkret darüber informieren, dass die iOS-Apps die Nutzung aufzeichnen.
[article_box style=“1″ articles=“28694,28768″]