Shein ist schick. Die Shopping-App fürs iPhone, spezialisiert auf Damenmode, wird auch überwiegend gut bewertet und gehört zu den beliebtesten Anwendungen im deutschen App Store. Aber der Einkauf über die App ist nicht ganz risikolos. Thomas Jansen, ein Hamburger IT-Sicherheitsspezialist, hat eine Sicherheitslücke entdeckt, die es Angreifern erlaubt, die Log-in-Daten der Nutzer abzufangen.

Um genauer zu sein: Er hat diese und ganz ähnliche Lücken in mehr als der Hälfte der 200 in Deutschland beliebtesten kostenlosen iOS-Apps (Stand: Ende September) gefunden. In 111, um genau zu sein.

Jansen ist promovierter Informatiker, hat acht Jahre lang bei Apple in den USA gearbeitet und ist heute Geschäftsführer der auf Softwareentwicklung und Informationssicherheit spezialisierten Firma Crissy Field. Er zeigt nicht als Erster, aber anhand vieler aktueller Beispiele, dass auch in offiziellen App Stores keineswegs nur unbedenkliche Anwendungen angeboten werden. Und dass Apples obligatorische Überprüfung vor der Freigabe einer Anwendung keine Garantie für Sicherheit ist.

Beispielhaft zeigt Jansen das an Shein, aus dem App Store heruntergeladen am 26. Oktober 2017. Im folgenden Video ist zu sehen, dass er auf seinem Laptop sehen kann, welcher Benutzername und welches Passwort in der App eingegeben werden:

Wie "Shein"-Nutzer gehackt werden können

Das Grundproblem ist in allen betroffenen Apps gleich. Ihre Entwickler sichern die Übertragung sensibler Daten wie Benutzernamen und Passwort nicht oder nur unzureichend durch eine verschlüsselte Übertragung ab. Was auf Websites mittlerweile selbstverständlich sein sollte, ist in mobilen Anwendungen alles andere als der Normalfall.

Shein ist nicht einmal das krasseste Beispiel, immerhin werden die Log-in-Daten der Nutzer durchaus über einen verschlüsselten Kanal übertragen. Nur überprüft die App nicht, ob das für die Verschlüsselung nötige Zertifikat vom richtigen Server kommt. Die Authentifizierung findet schlicht nicht statt. Ein Angreifer kann der App daher ein beliebiges Zertifikat unterjubeln, die übertragenen Daten entschlüsseln und später selbst damit einkaufen. Oder versuchen, sich mit den Zugangsdaten in anderen beliebten Diensten anzumelden – viele Menschen verwenden ihre Passwörter schließlich mehrfach.

Anfällig für Man-in-the-middle-Angriffe

Nutzer von Shein oder den anderen betroffenen Apps sind allerdings nicht ohne Weiteres hackbar. Jede Attacke wäre gezielt und mit einem gewissen Aufwand verbunden. Ein Täter muss die Kommunikation zwischen App und ihrem Anbieter, beziehungsweise dessen Server, mindestens beobachten können. Oder er muss sich, wie im Video oben, zu einem Teil des Netzwerks machen und den Datenverkehr über sein eigenes Gerät umleiten. Am einfachsten geht das, wenn er mit dem gleichen WLAN verbunden ist wie das iPhone oder iPad, zum Beispiel in einem Café. Für beide Varianten dieses sogenannten Man-in-the-middle-Angriffs gibt es kostenlose Software und günstige Hardware. Aber auch Arbeitgeber, die ihr Firmennetzwerk kontrollieren, wären technisch dazu in der Lage, solche Überwachungsaktionen durchzuführen. Ebenso wie Internetanbieter, die je nach Gesetzeslage von Strafverfolgern dazu gezwungen werden könnten.

Apple wollte genau diese Szenarien eigentlich verhindern, als es 2016 auf seiner Entwicklerkonferenz ankündigte, dass Apps ab Ende des Jahres HTTPS für die Übertragung von Nutzerdaten verwenden müssen. ATS nennt Apple das bereits 2015 eingeführte Feature – App Transport Security. Sauber implementiert, würde es Angriffe wie die von Jansen demonstrierten unmöglich machen. Nutzer sollen dank ATS darauf vertrauen können, schreibt Apple in seiner offiziellen Entwickler-Dokumentation, dass ihre Apps beim Senden von Daten diese nicht versehentlich an Unbefugte verraten.

Doch im Dezember vergangenen Jahres veröffentlichte das Unternehmen eine Mitteilung an Entwickler, in der es einen Aufschub für die Implementierung von ATS gewährte: "Um Ihnen mehr Zeit für die Vorbereitung zu geben, haben wir die Frist verlängert und wir werden uns mit einem Update melden, sobald es eine neue gibt." Das ist bis heute, fast ein Jahr später, nicht passiert.