iPad: Sicherheit von Apps überprüfen

Der App-Ansatz von iOS öffnet (ähnlich wie Android) letztendlich die Büchse der Pandora – als Anwender bekomme ich überhaupt nicht mit, was die Apps an Daten aus meinem Gerät per Internet an Dritte übertragen. Der Beitrag befasst sich mit der Frage, wie sich Apps zumindest auf bestimmte Funktionen überprüfen lassen.


Anzeige

Was ist das Problem?

Wer ein iPhone oder iPad sein eigen nennt, hat zwar ein nettes Gadget, welches aber ohne Apps wenig her macht. Also ist der Anwender gezwungen, solche kostenlosen und kostenpflichtigen Apps aus dem Apple Store zu installieren.

Wer auf auf dem iPad, dem iPod oder iPhone Apps aus dem Apple Store installiert, holt sich u. U. "Ungeziefer" auf das Gerät. Zwar besitzt Apple eine gewissen Kontrolle über die Apps, aber dies bedeutet nicht, dass dort eine Überprüfung hinsichtlich "Ungefährlichkeit" stattfindet. Letztendlich kann jeder App-Entwickler dort einige nette Überraschungen der unangenehmen Art einbauen.

  • Abzocke mit Apps: Genau betrachtet ist das Ganze recht irre: Funktionen (Dateimanager, FTP etc.) die jedes Windows oder Mac OS X von Hause aus beherrscht, sind in iOS nicht vorhanden. Also gilt es Apps aus dem Apple Store zu beziehen und zu installieren. Da das Ganze App-Gedöns ziemlich ins Geld gehen kann, akzeptieren Nutzer gerne auch kostenlose, über Werbung gesponsorte, Apps [1]. Nervt es schon, dass da irgendwo Werbebanner in der App rumfliegen, wird das Ganze kriminell, wenn Werbebanner zur Abzocke missbraucht und das Inkasso über den für die 3G-Mobilfunkanbindung verwendeten Vertrag passiert. Unter [2] findet sich ein netter Heise-Beitrag, der die technischen Hintergründe beleuchtet.
  • Sicherheitslücke für Jailbreak: Apple fährt iPad, iPhone und iPod als "geschlossene" Systeme, obwohl diese mittels Apps um eigene Funktionen erweitert werden können. Das zugrunde liegende iOS ist für den normalen Anwender daher eine Black-Box, der er vertrauen muss. Gelingt es einer Anwendung, das Sicherheitskonzept von iOS auszuhebeln, öffnet dies Tür und Tor für alle möglichen Aktivitäten. Auf der Windows-Ebene versucht man dies durch Sicherheitssoftware zu verhindern – bei iOS gibt es auf weitem Feld "nichts", was da helfen kann.  Im August 2010 schafften es findige Hacker, über eine iOS-Sicherheitslücke einen JailBreak durchzuführen, der das Apple-Gerät für Cydia freischaltet [3]. Diese Sicherheitslücke wurde von Apple zwar gestopft und steht mit dem iOS 4.2 nicht mehr zur Verfügung. Aber wer weiß, welche Sicherheitslücken noch existieren. Die unter [3] beschriebene Möglichkeit, war längere Zeit öffentlich bekannt. Bei nicht öffentlichen Exploits steht das Gerät sicherheitstechnisch für entsprechende Apps weit offen.
  • Rumpelstilzchen-Effekt: Als Besitzer eines iPhones/iPads kann man nur hoffen, dass "niemand weiß, dass ich Rumpelstilzchen heiß". Denn bereits bei der Inbetriebnahme des iGadget gibt man ja seine Daten an, um später im Apple Store einkaufen zu können. Nur Gewitzte werden dort so wenig wie möglich Daten eingeben (ich habe auf Klartextnamen und Zahlungsinformationen verzichtet – notfalls lassen sich Apps über iTunes Prepaid Karten [11, 12] bezahlen). Und jedem Gerät ist eine eindeutige ID zugeordnet. Wenn nun zig Apps auf dem Gerät laufen, kann ich mir nie sicher sein, ob diese meine Daten (E-Mail-Inhalte, Tastatureingaben, abgerufene Seiten etc.) nicht sammeln und dann an Dritte übertragen. Mit den location based services, die meine Position erfassen und dann an Dritte übertragen, werde ich zum gläsernen Bürger, dessen Aufenthaltsort auf Schritt-und-Tritt kontrollierbar ist.

Und dies ist keine Fiktion, sondern Wirklichkeit. Sogenannte "gepinchte" Apps ermitteln die eindeutige Identifikationsnummer und den Standort, um diese Information an einen Anbieter (Firma Pinch Media) zu übermitteln. Der Sender n-tv hat dies bereits im Frühjahr 2010 in einem Artikel [4] thematisiert.


Anzeige

Wie kann ich mich als Benutzer schützen?

Vorab: Einen 100%-Schutz gibt es leider nicht – so gesehen katapultieren iOS und auch Android uns quasi in die Steinzeit der EDV-Sicherheit zurück. Interessant, wenn man bedenkt, dass da durchaus Firmen daran gehen, das iPad in größeren Mengen inhouse einzusetzen – ob sich da die IT-Verantwortlichen irgend etwas bei gedacht haben?

Um sich vor der Abzocke durch Abofallen-Apps zu wappnen, empfiehlt sich bei kostenlosen Apps genau hinzuschauen, ob und wie dort Werbebanner geschaltet werden. Zudem ist es gelegentlich ganz aufschlussreich, die Benutzerkommentare zu diesen Apps im Apple-Store zu lesen und auch einen Blick in die Lizenzverträge zu werfen.

Als weitere Vorsichtsmaßnahme sollten Sie das Inkasso für Drittanbieter beim Mobilfunkprovider sperren lassen. Hier sind T-Com und Vodafone mustergültig, während O2 (und damit auch der Flatrate-Anbieter Fonic, der auf das O2-Netz aufsetzt) patzen [13]. Bei E-Plus lassen sich Anbieter nur selektiv sperren. (Update: Auf die "Initative" der Moblifunkanbieter, den geschätzten Benutzer vor solch Unbill zu schützen, hatte ich an anderer Stelle [14] hingewiesen.]

Gepinchte Apps aufspüren

Manche Entwickler von (kostenlosen und kostenpflichtigen) iPhone-/iPad-Apps binden Funktionen von Pinchmedia ein. Der Anbieter erfasst dabei eine Menge Daten (auch um Jailbreaks und Piracy zu erkennen) und verdichtet diese für ein Werbenetzwerk. Ganz gute Einblicke, was da durch die Spyware abgefischt wird, findet sich unter [5, 6, 7].

Um sich gegen gepinchte Apps, die Geräte-ID und Standort weitergeben, zu schützen (ohne jetzt das Gerät per Jailbreak aufzurüsten), gilt es, entsprechende Apps zu erkennen und vom Gerät zu entfernen. Hierzu gibt es verschiedene Ansätze, die ganz gut unter  [9] beschrieben sind. Am Einfachsten ist der Einsatz des IPA-Scanners, mit dem die iPhone-/iPad-Apps überprüft werden können.

Bei den .ipa-Dateien handelt es sich um ZIP-Archivdateien, die die iOS-Anwendung beinhalten. Über iTunes lässt sich auf dies .ipa-Dateien zugreifen. Nach einer Synchronisierung liegen Kopien der .ipa-Anwendungen vor, die sich mit dem IPA-Scanner überprüfen lassen. Für eine Überprüfung gehen Sie folgendermaßen vor.

  1. Besorgen Sie sich die Windows-Version des IPA-Scanners  (z. B. von der Webseite [10]).
  2. Verbinden Sie das iPad/iPhone per USB-Kabel mit dem Windows-Rechner und starten Sie iTunes.
  3. Lassen Sie das Gerät mit iTunes synchronisieren und gehen Sie dann in der Mediathek zum Zweig Apps. Dort klicken Sie das Symbol einer App mit der rechten Mastaste an und wählen den Kontextmenübefehl In Windows Explorer zeigen.IPAScan1
  4. Dann öffnet sich das Fenster des Windows Explorers, in dem der iTunes-Ordner mit dem auf dem Apple-Gerät installierten Apps erscheint. Der Pfad zu den .ipa-Dateien wird für den Scanner benötigt. Klicken Sie hinter das Adressfeld des Ordnerfensters, um den Ordnerpfad zu ermitteln (meist C:\Users\<benutzer>\Music\iTunes\iTunes Media\
    Mobile Applications
    ).
    IPAScan2
  5. Starten Sie den IPA-Scanner durch einen Doppelklick auf die Datei IPA Scanner.exe. Nach dem Programmstart wählen Sie die Schaltfläche Add Folder und navigieren im geöffneten Dialogfeld zum Ordner mit den .ipa-Dateien.
    IPAScan3
  6. Schließen Sie das Dialogfeld Ordner suchen über die OK-Schaltfläche und klicken Sie im IPA-Scanner-Fenster auf die Schaltfläche Scan.

Der Scanner überprüft dann die ipa-Archivdateien auf PinchMedia-Code und zeigt ggf. inkriminierte Module an. Dann müssen Sie entscheiden, ob das App an Bord bleibt, oder schleunigst auf dem Gerät oder per iTunes wieder gelöscht wird. Mein Rat wäre, einen weiten Bogen um solche Apps zu machen.

[Update: Anfang März ist in der PC-Welt ein Artikel [15] zum Thema Inkasso von Abos erschienen, den ich interessierten Lesern nicht vorenthalten möchte.]

Weiterführende Links:
1: User akzeptieren Werbung in Apps
2: Inkasso auf Fingertipp
3: iOS-Sicherheitslücke ermöglicht JailBreak
4: Unsichere App: iPhone-Nutzer nackt im Netz (n-tv)
5: Hintergrundinfos zu Apps mit PinchMedia-Funktionen
6: Pinchmedia-Info in einem Forum
7: Zeit-Online-Artikel
8: Hintergrundinfo über Datenschutz und Privatsphäre
9: Gepinchte Apps erkennen
10: IPA-Scanner Download
11: iTunes Prepaid Karten
12: iTunes Prepaid Kartenangebot
13: Inkasso von Drittanbietern durch O2
14: Wollen Mobilfunkanbieter uns vor Handy-Abzocke schützen?
15: PC-Welt Artikel


Anzeige

Dieser Beitrag wurde unter iPad, Virenschutz abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu iPad: Sicherheit von Apps überprüfen

  1. Daniel sagt:

    Das ist wirklich ein richtiger und vor allem extrem wichtiger Beitrag.
    Dank Deines Beitrags bin ich auf die Idee gekommen, selber einen Beitrag mit dem Thema Abzocker bei kostenlosen Apps zu schreiben. Ich denke das das Deinen eh schon perfekten Beitrag noch einmal unterstreicht und evtl. ergänzt.
    Grüße aus Schweinfurt

    Daniel

  2. Frenki sagt:

    ….ja die Zeit vergeht,es hat sich in 2 Jahren auch beim iPhone e.c. einiges geändert.Ist nun mal in der IT-Welt so. darum finde ich das hier geschriebene einfach nur überflüssig.

  3. Günter Born sagt:

    @Frenki: Deine Meinung bleibt dir unbenommen – nur ist das ein Blog und die Artikel von Dezember 2010 bleiben drin – niemand muss die lesen.

    Just my 2 senf

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.