Auch iOS-Apps sind keine Tresore

Für einmal war das Luzerner Radisson-Blu-Hotel fest in der Hand der «White Hats». Sicherheitsexperten aus der ganzen Welt tauschten sich an der «Hashdays Security Conference», die von Defcon Switzerland organisiert wird, während zwei Tagen die aktuellsten Trends im Security-Bereich. Zu diesen zählt sicher auch die Absicherung mobiler Applikationen für Smartphones und Tablets. In diesem Zusammenhang hat beispielsweise Ilja van Sprundel von IOActive über die Sicherheit, respektive die Unsicherheit in iOS-Apps berichtet. Entgegen der landläufigen Meinung, dass die rigorose Genehmigungspraxis von Apple ein sicheres Umfeld für die iPhone- und iPad-Programme sorgt, konnte van Sprundel diverse Defizite aufzeigen. So kritisiert er die Praxis von Apple, Apps kein wirklich sicheres Verfahren für den Datentransport zur Verfügung zu stellen. Doch viele Apps, wie etwa jene von Online-Läden bräuchten ein solches Verfahren. In der Folge wird auf das für Webseiten gedachte SSL zugegriffen. Hier bekrittelt der Sicherheitsexperte, dass Apple nur bestimmte Verschlüsselungsverfahren (Ciphers) für SSL zulässt und diese vorgibt.

Auch eine weitere Unsicherheit entsteht durch die strikte Sandbox, in der die iOS-Apps laufen. Und zwar sei es nicht möglich, dass die Apps direkt untereinander kommunizieren könnten. Nach der Meinung van Sprundel ist dies zu restriktiv. Diverse Apps seien auf eine gewisse Kollaboration angewiesen. Als Notlösung würden die Entwickler den Austausch über sogenannte URL Handler abwickeln. Doch das ist laut van Sprundel nicht ungefährlich. «Jede Webseite, etwa auch eine mit Malware verseuchte, kann die URL ebenfalls aufrufen». Eine weitere Praxis der App-Entwickler, die van Sprundel als problematisch einstuft, ist die Verwendung des Browser-Fensters (über die Funktion UIWebView) für die eigene grafische Benutzerschnittstelle. Dadurch seien einerseits sogenannte Cross-Site-Attacken möglich. Doch anscheinend kann die Funktion mehr, als URL und HTML-Seiten auflösen. Wie van Sprundel betont, könnten so eine Reihe von Dateiformaten geparst werden, auch Word- und Excel-Dateien mit den entsprechenden Konsequenzen für die Security.