App Store-Downloads: Unverschlüsselte Übertragung

  • Ersteller Mitglied 128076
  • Erstellt am

Mitglied 128076

Gast
App Store-Downloads: Unverschlüsselte Übertragung
web-3725158_960_720-700x467.png



Apple und Sicherheit passen eigentlich gut zusammen. Die Verschlüsselung des iPhones zum Beispiel stellt sogar das FBI vor große Herausforderungen. Unverständlich hingegen erscheint daher, dass Apple Übertragungen vom App Store oder via iTunes unverschlüsselt vornimmt.
Übertragungen unverschlüsselt, Apple sieht kein Sicherheitsrisiko


Sicherheitsexperten geben sich in Anbetracht einer unverschlüsselten Übertragung etwas beunruhigt, während Apple keinen Grund hierfür sieht. HTTPS oder TLS-Verschlüsselungen: Fehlanzeige. Es besteht lt. Apple aber kein Sicherheitsrisiko beim unverschlüsselten Download via App Store oder iTunes, auch wenn sich Apple gegenüber Entwicklern etwas verschlossener gibt. Es sind nämlich Zwei verschiedene Wege: In und aus dem Store. Wer eine App in den Store bringen möchte, muss die recht harten Sicherheitsbarrieren seitens Apple durchlaufen, bis eine App nach dessen Prüfung im Store verfügbar ist.

So müssen Apps lt. Richtlinien des App Stores seit dem 1. Januar 2017 SSL beherrschen und per HTTPS mit dem App Store kommunizieren. Hier legt Apple Wert auf Sicherheit. Wieso also nicht auch beim Download? Nachdem Apple aufgrund des Berichtes von Wired.com hiermit konfrontiert wurde, gab man sich dort weder beunruhigt, noch anderweitig in Sorge. Es scheint, als sei die Sicherheit ab hier nicht mehr so wichtig, denn eine bereits geprüfte App aus einem ansonsten geschlossenen System sollte sauber und ohne bösen Anhang geladen werden.
Unverschlüsselte Übertragung hat Vorteile


Apple zufolge soll die unverschlüsselte Übertragung Vorteile, etwa für Firmennetzwerke, haben, da diese so leichter zu verwalten wären. Ein Risiko für Kunden bestehe nicht, da die Authentifizierungen der Downloads stets verschlüsselt stattfinden und Apple einen Integritätscheck der übertragenen Daten vornimmt.
Dritte könnten mithören


Durch die unverschlüsselte Übertragung könnten Dritte den Datenstrom abhören und so heraus finden, welche Inhalte der Benutzer geladen hat. Das kann der Nachbar sein, aber auch eine staatliche Institution, die die Datenströme und Inhalte überwachen könnten. Auch für personalisierte Werbezwecke liesse sich ein Abhören der Daten missbrauchen. Durch den Umfang der Daten kann auch mit einer Verschlüsselung angeblich Rückschluss darüber gezogen werden, welche Dateien gerade geladen werden. Unter diesem Aspekt sollte die "Gefahr" eines unverschlüsselten Datenstroms beim Download von Apps oder Musik aus Apples Stores relativ gering sein.

via Macnotes.de | Wired.com, Titelbild: Pixabay
 

naich

Pomme d'or
Registriert
22.11.08
Beiträge
3.082
Solange die Downloads / Apps nach dem herunterladen auf Integrität überprüft werden, wovon ich hier ausgehe, gibt es aus dieser (Integritäts-)Sicht tatsächlich keine Probleme mit unverschlüsselten Verbindungen. Auch wenn es viele veilleicht nicht wahr haben wollen: Eine saubere Signatur über die App, welche überprüft wird, ist besser als einfach jedes Problem über "TLS" lösen zu wollen.

Vertraulichkeit ist ein anderer Aspekt. Aber wenn man im eigenen WLAN seinem Nachbar Zugriff gibt, sollte man sich auch nicht wundern, dass dieser auch Datenverkehr mithören kann. Aber dieses Szenario ist wohl eher etwas an den Haaren herbeigezogen - interessanter ist es eher in öffentlichen Internet-Hotspots, wo man evt. duchaus nicht jedem preisgeben will, welche App man sich gerade herunterläd.
 
  • Like
Reaktionen: Mitglied 128076

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.833
...interessanter ist es eher in öffentlichen Internet-Hotspots, wo man evt. duchaus nicht jedem preisgeben will, welche App man sich gerade herunterläd.

Wenn man nicht will, dass andere etwas vom Surfverhalten mitkriegen, hat sich das mit dem Einloggen in einen öffentlichen Hotspot eh erledigt. Man kann NIE wissen, welche Daten unverschlüsselt übertragen werden. Von daher: Wer sich in einen öffentlichen Hotspot einwählt, für den ist der Siherheitsgedanke ohnehin nicht da.
 
  • Like
Reaktionen: Mitglied 128076

MichaNbg

Goldrenette von Blenheim
Registriert
17.10.16
Beiträge
7.962
Aus dem Grund verstehe ich die Hysterie um Hotspots sowieso nicht. Und verstehen auch nicht, wie manche sich einfach überall rein hängen, wo „free wlan“, „Vodafone“ oder „Telekom“ steht....
 
  • Like
Reaktionen: rootie

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.833
Ja da kann ich nur zu 100% beipflichten. Ich surfe nur in privaten WLANs, denen ich vertraue und im normalen Handynetz. Nicht im Traum würde mir einfallen, einen Hotspot von McDonalds oder Starbucks zu nutzen. Da kannst ja auch gleich das Geld in den Tresor legen, diesen auf die Straße stellen und den Schlüssel oben drauf tun.
 
  • Like
Reaktionen: leton53 und dg2rbf

FrankR

Gascoynes Scharlachroter
Registriert
15.11.07
Beiträge
1.537
Hmm, ich weiß nicht so recht - im Browser kannst Du schon sehen, ob die Verbindung via SSL erfolgt, oder eben nicht. Weiterhin gibt es Tools wie Little Snitch um da tiefer reinzugehen. Für alles richtig relevante sollte man sowieso VPNs nutzen.
 
  • Like
Reaktionen: dg2rbf

Mokotschombo

Leipziger Reinette
Registriert
05.03.15
Beiträge
1.782
Was ist an offenen Wlans so unsicher?
Ist ein verschlüsseltes Hotel Wlan genauso unsicher?
Vielleicht kann das jemand erklären, hab immer ein unsicheres Gefühl im Hotel.
 

MichaNbg

Goldrenette von Blenheim
Registriert
17.10.16
Beiträge
7.962
Gibt genau zwei WLAN Netze, denen ich traue. Mein eigenes und das meines Arbeitgebers. Und das gilt auch nur für diesen AG.
 
  • Like
Reaktionen: rootie

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.833
Was ist an offenen Wlans so unsicher?
Ist ein verschlüsseltes Hotel Wlan genauso unsicher?
Vielleicht kann das jemand erklären, hab immer ein unsicheres Gefühl im Hotel.

Also ich für mich definiere eigentlich jedes WLAN, das ich nicht selbst eingerichtet habe, als unsicher. Ist vielleicht Paranoia, aber hilft nix :)
 

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.833
Ich weiß ja nicht, wer sonst noch das Passwort hat. Klar ist es äußerst unwahrscheinlich, dass da was passiert, wenn man beispielsweise bei Freunden ist. Aber auf keinen Fall wähle ich mich in irgendein total fremdes WLAN ein, wo das Passwort mir nicht bekannten Menschen bekannt ist.
 

maniacintosh

Angelner Borsdorfer
Registriert
28.12.15
Beiträge
628
Was ist an offenen Wlans so unsicher?
Ein offenes WLAN ist unverschlüsselt. Jeder kann also sämtliche Daten die darüber übertragen werden im Klartext mit"hören", sofern die Daten nicht anderweitig verschlüsselt sind.

Ist ein verschlüsseltes Hotel Wlan genauso unsicher?
Ein verschlüsseltes Hotel-WLAN ist da schon sicherer. In WPA2 sind inzwischen jedoch einige Sicherheitslücken entdeckt worden. WPA3 ist bereits verabschiedet und soll ab 2019 kommen. Als 100% sicher würde ich daher kein WLAN betrachten, nicht mal mein Eigenes! Aber ein verschlüsseltes Hotel-WLAN erfordert schon einmal etwas mehr Aufwand, wenn man Daten abgreifen möchte.

Vielleicht kann das jemand erklären, hab immer ein unsicheres Gefühl im Hotel.

Generell würde ich bei sensiblen Daten (Online-Banking, Firmengeheimnisse etc.) dazu raten zusätzliche Verschlüsselung zu nutzen oder eben diese nicht über ein WLAN zu übertragen. Zusätzliche Sicherheit kann hier z.B. ein VPN-Tunnel bieten.
 

Mokotschombo

Leipziger Reinette
Registriert
05.03.15
Beiträge
1.782
Ich weiß ja nicht, wer sonst noch das Passwort hat. Klar ist es äußerst unwahrscheinlich, dass da was passiert, wenn man beispielsweise bei Freunden ist. Aber auf keinen Fall wähle ich mich in irgendein total fremdes WLAN ein, wo das Passwort mir nicht bekannten Menschen bekannt ist.
Das heißt, es reicht einmal im gleichen Netz zu sein, um an die Daten kommen zu können?


Generell würde ich bei sensiblen Daten (Online-Banking, Firmengeheimnisse etc.) dazu raten zusätzliche Verschlüsselung zu nutzen oder eben diese nicht über ein WLAN zu übertragen. Zusätzliche Sicherheit kann hier z.B. ein VPN-Tunnel bieten.

und schützt eine https Verbindung nicht auch einen im offenen WLAN?
 

O-bake

Aargauer Weinapfel
Registriert
21.01.07
Beiträge
747
Nun, die Diskussion driftet hier jetzt ja ziemlich in die generelle Sicherheit von Computern ab.
Man sollte halt auch zwischen wichtigen und belanglosen Daten unterscheiden. So wie eben Apple das mit den hier vorgestellten "Problem" macht, das nämlich kaum eines ist.
Wenn ich mir im Starbucks einen Capuccino bestelle, dann bekommen das auch alle Leute im Laden mit, vor allem dann, wenn ich mich noch namentlich aufrufen lasse. Wer darin ein Drama erkennt, nimmt sich möglicherwiese für etwas wichtiger, als er es tatsächlich ist.

Wenn heute eine Datenbank mit Namen und Adressen von hundertausenden Bürgern von einer Firma ins Internet leaken würde, wäre das sicher für Tage das Top-Thema auf einschlägigen IT-Seiten und würde als "XYZ-Gate" bzw. Sicherheits-Super GAU bezeichnet werden.
Vor zwanzig Jahren nannte man das "Telefonbuch" und das hing für jedermann einsehbar in jeder Telefonzelle an jeder Strassenecke aus.
In Wien wurde ja gerade nach Einführung der DSGVO diskutiert, ob Namenschilder an Haustüren noch zulässig sind, da sie ja personenbezogene Daten seien. Wie gesagt, ab einem gewissen Punkt wird es albern.
 
  • Like
Reaktionen: dg2rbf

maniacintosh

Angelner Borsdorfer
Registriert
28.12.15
Beiträge
628
Das heißt, es reicht einmal im gleichen Netz zu sein, um an die Daten kommen zu können?

Nicht direkt, aber es ist schon mal der erste Schritt.

und schützt eine https Verbindung nicht auch einen im offenen WLAN?

In der Theorie schon, aber es gibt auch mögliche Attacken auf https. Das größere Problem sehe ich eher an einer anderen Stelle: Kommuniziert wirklich alles auf dem Smartphone, Tablet bzw. Notebook auch wirklich verschlüsselt? Oder ist da irgendwo ein Dienst oder eine App, der/die vielleicht doch unverschlüsselt Daten verteilt? Manchmal ist auch vielleicht schon interessant genug mit wem kommuniziert (und wie lange etc.) ohne die eigentlichen Inhalte zu kennen.

Nun, die Diskussion driftet hier jetzt ja ziemlich in die generelle Sicherheit von Computern ab.
Man sollte halt auch zwischen wichtigen und belanglosen Daten unterscheiden. So wie eben Apple das mit den hier vorgestellten "Problem" macht, das nämlich kaum eines ist.

Genau das ist der Punkt, man muss immer schauen, wie kritisch sind die Daten, die ich gerade übertrage. Der Abruf einer ganz normalen Newsseite, ohne Login-Credentials und Tracking-Cookies, wäre in meinen Augen auch in einem offenen WLAN sogar HTTPS relativ unkritisch (mehr Sorgen macht mir alles, was auf modernen Devices von alleine sofort kommuniziert sobald es Netz hat). Irgendwo einloggen würde ich da aber eben nicht. Hantiere ich mit Online-Banking oder Kreditkarten-Daten oder ähnlichen, mache ich das eigentlich nicht mal in einem verschlüsselten WLAN - trotz HTTPS.

Wenn heute eine Datenbank mit Namen und Adressen von hundertausenden Bürgern von einer Firma ins Internet leaken würde, wäre das sicher für Tage das Top-Thema auf einschlägigen IT-Seiten und würde als "XYZ-Gate" bzw. Sicherheits-Super GAU bezeichnet werden.
Vor zwanzig Jahren nannte man das "Telefonbuch" und das hing für jedermann einsehbar in jeder Telefonzelle an jeder Strassenecke aus.

Aber auch vor 20 Jahren musste man der Veröffentlichung im Telefonbuch zustimmen. Im Normalfall steht da auch außer Name und Telefonnummer nicht viel drin, schlimmstenfalls noch die Adresse und das war nicht mal die Regel. Das Problem mit den heutigen Datenbanken ist, dass da häufig eben nicht nur Name und Adresse drin stehen, sondern gerne auch mal Passwörter - schlimmstenfalls unverschlüsselt und ungehasht - Kreditkartendaten bzw. Bankverbindungen, E-Mail-Adressen und ggf. sogar noch Nutzungsdaten mit hinterlegt sind.

In Wien wurde ja gerade nach Einführung der DSGVO diskutiert, ob Namenschilder an Haustüren noch zulässig sind, da sie ja personenbezogene Daten seien. Wie gesagt, ab einem gewissen Punkt wird es albern.

Diese Diskussion empfinde ich auch nach wie vor noch als lächerlich, wie eigentlich die gesamte DSGVO. Ein typischer Fall von gut gemeint, aber schlecht gemacht. Die DSGVO schießt an vielen Stellen weit über das Ziel hinaus, während weiterhin jede Website mich fröhlich mit Cookies trackt. Ich musste mal auf OK klicken, aber das war es auch. Stimmt man den Cookies nicht zu kann man eine Seite oft einfach nicht nutzen.
 
  • Like
Reaktionen: dg2rbf

ullistein

Sonnenwirtsapfel
Registriert
28.12.10
Beiträge
2.412
Der Vergleich mit dem Telefonbuch hinkt deshalb, weil man, um die Daten, die dort hinterlegt sind verarbeiten zu können, alles mühsam abschreiben oder einscannen müsste. Die Arbeit hat sich früher sicher keiner gemacht.

In einer Datenbank, die man aus dem Datenverkehr abgreifen kann, ist bereits alles mundgerecht aufgearbeitet.
 
  • Like
Reaktionen: maniacintosh

leton53

Thurgauer Weinapfel
Registriert
03.07.08
Beiträge
1.018
Nun, bei der anfallenden Datenflut ist mir völlig schnuppe, wenn dritte das mitlesen; und zur Authentifizierung in sonstige Bereiche scheint Apple doch gute Arbeit zu leisten. Keine Auffäligkeiten seit 2007 ... und wenn auch, was wäre bei mir zu holen? Denn seit den restriktiven Internet-Gesetzen benimmt sich selbst Google in angemessenem Manier: weniger Werbung & weniger Spam, alles paletti.