iOS: Gravierende Sicherheitslücke in 45 Twitter-Apps
Gefährliche Sicherheitslücke bei Twitter-Apps für iOS.
Bild: dpa
Zahlreiche Apps für iPhone und iPad, die eine
Twitter-Kommunikation eingebaut haben, enthalten gravierende
Sicherheitslücken. Sicherheitsforscher des Fraunhofer-Instituts für
Sichere Informationstechnologie SIT in Darmstadt warnten heute
vor Anwendungen, die noch den veralteten Software-Baustein TwitterKit
für iOS 3.4.2 verwenden. Die Sicherheitslücken könnten
Identitätsdiebstahl, Account-Missbrauch sowie Datenverluste zur Folge
haben.
Konkrete Apps müssen geheim bleiben
Gefährliche Sicherheitslücke bei Twitter-Apps für iOS.
Bild: dpa
Unter den beliebtesten 2000 iOS-Apps in Deutschland seien 45 Anwendungen betroffenen. Um welche Programme es sich konkret handelt,
wollte das Forschungsinstitut nicht sagen. Man wolle nicht gegen das
Prinzip der "verantwortungsvollen Enthüllung" (Responsible
Disclosure) verstoßen. Bei diesem Prozess wird das von einer
Sicherheitslücke betroffene Unternehmen zuerst informiert und bekommt
Zeit, um das Problem zu beheben - als üblich gelten 60 Tage, also
zwei Monate. Erst dann werden die Fehler öffentlich gemacht.
Account-Übernahme möglich
Der aktuell entdeckte Fehler betrifft die Schnittstelle zu Twitter, die das Verschlüsselungs-Zertifikat (SSL) von Twitter nicht korrekt überprüft. Dadurch könnten sich Angreifer in die Kommunikation einklinken und private Daten wie geschützte Tweets und Direktnachrichten des Twitter-Accounts einsehen oder im Namen des Nutzers twittern, Tweets liken und retweeten. "Darüber hinaus kann jede App angegriffen werden, die das schadhafte TwitterKit dafür nutzt, einen Login via Twitter anzubieten."
Lücke wird nicht mehr geschlossen
Twitter wird die Sicherheitslücke in dem Software-Baustein nicht mehr schließen, weil die technische Unterstützung für das TwitterKit vor einem Jahr ausgelaufen sei. Den Herstellern von iOS-Apps stünden seit geraumer Zeit Alternativen zum TwitterKit zur Verfügung.
Der TwitterKit für iOS ist aber auch in anderen Entwickler-Frameworks eingebunden, wie Google Fabric. Apps, die mit Google Fabric geschrieben worden sind, könnten somit auch von der Sicherheitslücke betroffen sein, so das SIT.
Als Sofortmaßnahme sollten Twitter-Logins in Dritt-Apps nicht mehr genutzt werden, raten die Sicherheitsforscher. Dies gelte vor allem im öffentlichen WLAN. Hier ließen sich die Schwachstellen besonders leicht ausnutzen.
Die Forscher des SIT untersuchen nicht nur Software, sondern prüfen auch Hardware auf Sicherheitsprobleme. So haben die Experten unlängst in Internet-Telefonen von mehr als 25 Herstellern 40 zum Teil gravierende Sicherheitslücken entdeckt. teltarif.de berichtete.