8. Oktober 2019, 16:40 Uhr | Lesezeit: 2 Minuten
Dutzende Apps für iOS könnten zum Sicherheitsproblem werden. Experten des Fraunhofer-Instituts haben eine Schwachstelle bei Anwendungen entdeckt, die mit Twitter kommunizieren.
Zahlreiche Apps für iPhone und iPad, die eine Twitter-Kommunikation eingebaut haben, enthalten gravierende Sicherheitslücken. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt warnten vor Anwendungen, die noch den veralteten Software-Baustein TwitterKit für iOS 3.4.2 verwenden. Die Sicherheitslücken könnten Identitätsdiebstahl, Account-Missbrauch sowie Datenverluste zur Folge haben.
Unter den beliebtesten 2000 iOS-Apps in Deutschland seien 45 Anwendungen betroffenen. Um welche Programme es sich konkret handelt, wollte das Forschungsinstitut nicht sagen. Man wolle nicht gegen das Prinzip der „verantwortungsvollen Enthüllung“ (Responsible Disclosure) verstoßen. Bei diesem Prozess wird das von einer Sicherheitslücke betroffene Unternehmen zuerst informiert und bekommt Zeit, um das Problem zu beheben – als üblich gelten 60 Tage, also zwei Monate. Erst dann werden die Fehler öffentlich gemacht.
Apple warnt vor Sicherheitslücke im neuen iOS 13
HomeKit-Bug Neuer Hacker-Trick macht iPhones und iPads unbrauchbar
Vorsicht Sicherheitslücke – WhatsApp-Nutzer sollten sofort handeln
Sicherheit Amazon schließt gravierende Sicherheitslücken in Alexa
Angreifer können Nachrichten einsehen und Tweets senden
Der aktuell entdeckte Fehler betrifft die Schnittstelle zu Twitter, die das Verschlüsselungs-Zertifikat (SSL) von Twitter nicht korrekt überprüft. Dadurch könnten sich Angreifer in die Kommunikation einklinken und private Daten wie geschützte Tweets und Direktnachrichten des Twitter-Accounts einsehen oder im Namen des Nutzers twittern, Tweets liken und retweeten. „Darüber hinaus kann jede App angegriffen werden, die das schadhafte TwitterKit dafür nutzt, einen Login via Twitter anzubieten.“ Nutzer sollten daher auf einen Login mit Twitter, der in einer App angeboten wird, verzichten. Besonders dann, wenn sie sich in einem fremden oder gar offenen WLAN-Netz befinden.
Twitter selbst sei bereits über die Schwachstelle informiert, werde die Sicherheitslücke in dem Software-Baustein allerdings nicht mehr schließen, weil die technische Unterstützung für das TwitterKit vor einem Jahr ausgelaufen sei. Die Twitter-eigene App Periscope ist jedoch mittlerweile gepatcht. „Wir wollen alle iOS-Entwickler dringend davor warnen, diese Softwarebibliothek zu nutzen oder im eigenen Code zu belassen. Das komplette TwitterKit ist unsicher“, so Dr. Jens Heider, Mobile-Security-Experte am Fraunhofer SIT. Den Herstellern von iOS-Apps stünden seit geraumer Zeit Alternativen zum TwitterKit zur Verfügung.
