Passwörter als Klartext versendet: Bitdefender warnt vor verschiedenen iOS-Apps

September 2012


Smartphone-Applikationen gefährden Nutzersicherheit

Passwörter sind die letzte und meist auch einzige Schutzbarriere vor Online-Kriminellen. Die meisten User wissen, dass vertrauliche Login-Daten nicht für jedermann einsehbar sein sollten. Manche Entwickler von Apps für das Apple-Betriebssystem iOS scheinen jedoch weniger rücksichtsvoll mit sensiblen Informationen der Nutzer umzugehen. Dies haben die Bitdefender Labs kürzlich bei der Analyse von kostenlosen, häufig bewerteten iOS-Apps festgestellt. Einige Applikationen versenden Passwörter als Klartext, was die Sicherheit der User gefährdet. Denn Cybergangster können die Daten abfangen und für Hacking missbrauchen.

Die Annahme der Antivirus-Experten, dass vertrauliche Daten von den Apps entsprechend behandelt werden, bestätigte sich nicht in allen Fällen. Zum Zeitpunkt der Bitdefender-Analyse verfügte der „Wi-Fi Finder“ von JiWire Inc. beispielsweise über mehr als 65.427 Kundenbewertungen und besaß dreieinhalb Sterne. Die App, die Usern dabei hilft, kostenpflichtige oder gratis Wi-Fi-Netzwerke zu finden, scheint die gesendeten Passwörter nicht zu verschlüsseln. Wie die Antivirusspezialisten herausfanden, sendet das Programm Passwörter als Klartext. Das erleichtert Kriminellen, auch bei nur geringen Spoofing-Kenntnissen, den Einblick in Fremdgeräte erheblich.

Passwort-Klau statt Online-Überweisung

Eine andere iOS-Applikation namens „Texthog“ ermöglicht es dem Nutzer, seine persönlichen Finanzen und Ausgaben mobil „on the go“ im Blick zu behalten. „Texthog“ verfügt über mehr als 1.526 Bewertungen, was vermuten lässt, dass das Programm recht populär ist. Doch auch diese App sendet Klartext-Passwörter. Die Autosynchronisation mit dem texthog.com-Account könnte riskant sein, falls der User dies über ein Wi-Fi-Netzwerk vornimmt und dabei von Dritten überwacht wird.

Nachlässige Verschlüsselung

Ein anderes Beispiel: Die App „iWrecked“ von Vurgood Applications agiert als Assistent für die Abwicklung von Schadensfällen. Sie wurde bereits von der New York Times, Consumer Reports, Road & Track, Edmunds, CNet und weiteren empfohlen. Die App hilft Nutzern dabei, eine PDF-Datei inklusive Bildern des Unfalls zu erstellen, die im Anschluss direkt an das Versicherungsunternehmen gesendet werden kann. Bei der Analyse durch die Bitdefender Labs stellte sich heraus, dass auch „iWrecked“ Passwörter als Klartext versendet.

Mit mehr als 9.994 User-Bewertungen ist auch der „Melodis Voice Dialer“ von SoundHound eine der Apps, die Kontaktnamen nachlässig verschlüsselt. „Aloha: Hang with friends!“ by VodkaCran, Inc. ist ebenfalls eine verbreitete Anwendung, die User benachrichtigt, sobald sich ein Freund in der Nähe aufhält. Beide Applikationen handhaben Kontakte und Telefonnummern unsicher, was sie unglaubwürdig macht.

Zugriffsrechte kritisch prüfen

Das Fazit der Virenschutzexperten: Hinsichtlich der Handhabung sensibler User-Daten erfordert es seitens der iOS-App-Entwickler nur wenige Schritte, um sachgemäße Maßnahmen zu treffen, die Passwörter, Kontaktnamen und Telefonnummern verschlüsseln. Die Risiken, dass derartige Daten kompromittiert werden, können nicht außer Acht gelassen werden – die iOS-Privatsphäre sollte nicht auf die leichte Schulter genommen werden. Da Smartphones sowohl im Berufs- als auch im Privatleben zum Einsatz kommen, sollte die Aufmerksamkeit für die Zugriffs- und Übertragungsrechte von Apps stets besonders hoch sein.