Wie der Hamburger IT-Security-Forscher Thomas Jansen aufgedeckt hat, weisen viele populäre iPhone- iPad-Apps Schwachstellen auf. Laut dem Spezialisten sei es unter bestimmten Voraussetzungen möglich, die Login-Daten der Nutzer für den jeweiligen Dienst abzufangen, da die Verschlüsselung der Daten bei der Übermittlung fehlerhaft umgesetzt worden sei.
Wie Jansen gegenüber der Online-Ausgabe der Wochenzeitung "Zeit" erklärte, wiesen von den 200 populärsten kostenlosen iOS-Apps genau 111 diese Lücke auf. Die Übertragung sensibler Daten wie Benutzername und Passwort werde nicht oder nur unzureichend durch eine verschlüsselte Übertragung abgesichert. Jansen testete nur Apps für iPhone und iPad, nicht für andere Mobilsysteme. Experten gehen allerdings davon aus, dass auch viele Android-Apps eine entsprechende Lücke aufweisen.
Die von Jansen beschriebene Attacke ist mit einem gewissen Aufwand verbunden. Der Angreifer muss als "Man in the Middle" die Kommunikation zwischen der App und dem Serviceanbieter zumindest beobachten können, das ist beispielsweise bei unverschlüsselten Verbindungen in öffentlichen Hotspots möglich. Eine Attacke wäre auch möglich, wenn sich die Angreifer in das Netzwerk einklinken kann und den Datenverkehr umleitet. Eigentlich schreibt Apple seinen App-Entwicklern seit Sommer 2016 vor, dass sie das sichere Protokoll HTTPS für die Übertragung der Nutzerdaten verwenden müssen. Bei der Umsetzung der Vorgabe habe der iPhone-Hersteller den Entwicklern im Dezember 2016 aber einen Aufschub für die Umsetzung für unbestimmte Zeit gegeben.
Linus Neumann, einer der Sprecher des Chaos Computer Clubs (CCC), hat die Analyse des Sicherheitsforschers an einer der 111 betroffenen Apps exemplarisch nachvollzogen und gegenüber der "Zeit" bestätigt.
