Themenspezial: Verbraucher & Service iOS

iOS: Gravierende Sicherheitslücke in 45 Twitter-Apps

Das Fraun­hofer Institut SIT in Darm­stadt schlägt Alarm: 45 iOS-Apps mit einem veral­teten Soft­ware-Baustein bergen ein großes Gefah­renpo­tenzial.
Von Wolfgang Korne mit Material von dpa

Gefährliche Sicherheitslücke bei Twitter-Apps für iOS. Gefährliche Sicherheitslücke bei Twitter-Apps für iOS.
Bild: dpa Zahl­reiche Apps für iPhone und iPad, die eine Twitter-Kommu­nika­tion einge­baut haben, enthalten gravie­rende Sicher­heits­lücken. Sicher­heits­forscher des Fraun­hofer-Insti­tuts für Sichere Infor­mati­onstech­nologie SIT in Darm­stadt warnten heute vor Anwen­dungen, die noch den veral­teten Soft­ware-Baustein TwitterKit für iOS 3.4.2 verwenden. Die Sicher­heits­lücken könnten Iden­titäts­dieb­stahl, Account-Miss­brauch sowie Daten­verluste zur Folge haben.

Konkrete Apps müssen geheim bleiben

Gefährliche Sicherheitslücke bei Twitter-Apps für iOS. Gefährliche Sicherheitslücke bei Twitter-Apps für iOS.
Bild: dpa Unter den belieb­testen 2000 iOS-Apps in Deutsch­land seien 45 Anwen­dungen betrof­fenen. Um welche Programme es sich konkret handelt, wollte das Forschungs­institut nicht sagen. Man wolle nicht gegen das Prinzip der "verant­wortungs­vollen Enthül­lung" (Respon­sible Disclo­sure) verstoßen. Bei diesem Prozess wird das von einer Sicher­heits­lücke betrof­fene Unter­nehmen zuerst infor­miert und bekommt Zeit, um das Problem zu beheben - als üblich gelten 60 Tage, also zwei Monate. Erst dann werden die Fehler öffent­lich gemacht.

Account-Über­nahme möglich

Der aktuell entdeckte Fehler betrifft die Schnitt­stelle zu Twitter, die das Verschlüs­selungs-Zerti­fikat (SSL) von Twitter nicht korrekt über­prüft. Dadurch könnten sich Angreifer in die Kommu­nika­tion einklinken und private Daten wie geschützte Tweets und Direkt­nach­richten des Twitter-Accounts einsehen oder im Namen des Nutzers twit­tern, Tweets liken und retweeten. "Darüber hinaus kann jede App ange­griffen werden, die das schad­hafte TwitterKit dafür nutzt, einen Login via Twitter anzu­bieten."

Lücke wird nicht mehr geschlossen

Twitter wird die Sicher­heits­lücke in dem Soft­ware-Baustein nicht mehr schließen, weil die tech­nische Unter­stüt­zung für das TwitterKit vor einem Jahr ausge­laufen sei. Den Herstel­lern von iOS-Apps stünden seit geraumer Zeit Alter­nativen zum TwitterKit zur Verfü­gung.

Der TwitterKit für iOS ist aber auch in anderen Entwickler-Frame­works einge­bunden, wie Google Fabric. Apps, die mit Google Fabric geschrieben worden sind, könnten somit auch von der Sicher­heits­lücke betroffen sein, so das SIT.

Als Sofort­maßnahme sollten Twitter-Logins in Dritt-Apps nicht mehr genutzt werden, raten die Sicher­heits­forscher. Dies gelte vor allem im öffent­lichen WLAN. Hier ließen sich die Schwach­stellen beson­ders leicht ausnutzen.

Die Forscher des SIT unter­suchen nicht nur Soft­ware, sondern prüfen auch Hard­ware auf Sicher­heits­probleme. So haben die Experten unlängst in Internet-Tele­fonen von mehr als 25 Herstel­lern 40 zum Teil gravie­rende Sicher­heits­lücken entdeckt. teltarif.de berich­tete.

Mehr zum Thema Sicherheit