Das Bestreben, den Datenverkehr im gesamten Web zu verschlüsseln, hat zu einem sichereren und sichereren Surfen auf Millionen von Websites geführt. Aber nicht überall wird die sogenannte Transport Layer Security verwendet, die HTTPS-fähige Sites vor neugierigen Blicken schützt. Wie sich herausstellt, umfasst dies die Infrastruktur von iTunes und iOS App Store von Apple, die ihre Downloads über unverschlüsselte Verbindungen ausführt.
In der Regel können Sie anhand des kleinen grünen Vorhängeschlosses auf der linken Seite der URL-Leiste erkennen, wann eine Website HTTPS-Verschlüsselung verwendet. Aber nicht jedes Webportal ist mit einer solchen visuellen Anzeige ausgestattet, was Forscher der Datenschutzfirma Disconnect zu iTunes und zum App Store geführt hat.
Jedes Mal, wenn Sie eine App oder ein Update aus dem App Store oder einen Film, eine Fernsehsendung oder ein Lied aus iTunes herunterladen, wird es über HTTP ohne TLS übertragen. Das macht es Ihrem Internetdienstanbieter, einem Hacker mit nationalem Status oder sogar nur jemandem in einem gemeinsam genutzten Wi-Fi-Netzwerk zumindest theoretisch leichter, all diese Interaktionen zu beobachten. Zu jedem unverschlüsselten Download gehört auch ein von Apple generierter Code namens Destination Signaling Identifier, eine von iCloud generierte eindeutige Geräte-ID, die sich nur in regelmäßigen Abständen ändert. Die Forscher befürchten, dass Angreifer die DSIDs verwenden könnten, um die Mediengewohnheiten oder die von ihnen verwendeten Apps zu verfolgen.
"Sobald Sie den Browser verlassen, gibt es keinen Einblick mehr in das, was mit TLS zu tun hat und was nicht", sagt Patrick Jackson, CTO von Disconnect, ein ehemaliger NSA-Forscher. „Es gibt so viel über jemanden zu lernen, basierend darauf, wann er eine App herunterlädt und auf welchen Medien er sich befindet. Mit diesen Gewohnheiten haben sie bereits eine Menge aufgegeben, wer sie sind. “
Forscher von Disconnect haben Apple im September einen Fehlerbericht über das Verhalten übermittelt, in dem sie ihre Bedenken darlegen und feststellen, dass jeder die Beobachtungen mit einem Netzwerkanalysetool bestätigen kann, das den Datenverkehr aufzeichnet. Apple antwortete, dass die Situation kein Fehler sei und dass Downloads über HTTP "erwartet" würden. In der Antwort wird darauf hingewiesen, dass die Downloads selbst zwar nicht verschlüsselt sind, die anderen Phasen der Interaktion zum Initiieren und Abschließen eines Downloads jedoch eine Metadatenübertragung vor dem eigentlichen Download umfassen. Apple verfügt auch über ein Verfahren, mit dem die Gültigkeit und Integrität heruntergeladener Dateien kryptografisch überprüft werden kann. Das Unternehmen lehnte es ab, weitere Kommentare zur Verwendung von HTTP für Downloads abzugeben.
"Es gibt so viel über jemanden zu lernen, wenn er eine App herunterlädt."
Patrick Jackson, Verbindung trennen
Es ist wichtig, sich daran zu erinnern, dass sich all dies vom Internet-Verkehr innerhalb der Apps selbst unterscheidet, der im Allgemeinen verschlüsselt ist. Seit 2016 hat Apple von seinen Entwicklern verlangt, TLS in den Apps zu verwenden, die sie an den App Store senden. Es ist jedoch bekannt, dass nicht konforme Einträge eingehen. Außerdem hat Apple TLS für iTunes im Allgemeinen etwas langsam implementiert und seine Verwendung in erweitert 2013, nachdem Forscher Bedenken geäußert hatten.
Obwohl es zunächst verwunderlich ist, dass ein Unternehmen, das angeblich die Privatsphäre schützt, wie Apple, möglicherweise keine vollständige HTTPS-Akzeptanz im Backend anbietet, meint iOS-Forscher Will Strafach, dass das Setup einem bestimmten Zweck dient. Indem die Downloads selbst über Klartext-HTTP anstatt über eine verschlüsselte Verbindung gesendet werden, können Systemadministratoren, insbesondere in großen Unternehmensumgebungen, eine Art Wegestation erstellen, um große Apps und Dateien in ihrem lokalen Netzwerk für eine schnellere Verteilung zwischenzuspeichern. Das bedeutet, dass sie keine Bandbreite verbrauchen, wenn die App, das Update oder eine andere Datei immer wieder auf zahlreiche Geräte heruntergeladen wird. Wenn die Verbindung zwischen Apples Servern und den Geräten verschlüsselt wäre, wäre dieser Zwischenstopp nicht möglich.
"Es scheint zunächst ungewöhnlich und seltsam, aber ich glaube nicht, dass hier eine Sicherheitsbedrohung besteht, da Integritätsprüfungen immer noch stattfinden", sagt Strafach. Er stimmt zu, dass das unverschlüsselte Senden von Daten immer Nachteile mit sich bringen kann, merkt jedoch an, dass ein Angreifer, der nachverfolgen möchte, was ein Ziel herunterlädt, dies basierend auf der Größe einer App möglicherweise auch mit TLS-Verschlüsselung tun kann.
Der Google Play Store scheint einen Weg gefunden zu haben, um diesen Caching-Mechanismus zu umgehen. Dies ist nicht verwunderlich, da Google vor Jahren seine Unterstützung für allgegenwärtiges HTTPS ausdrücklich abgesteckt hat. Ein Google-Sprecher teilte WIRED mit, dass alle Play-Daten und -Dateien mit einer Integritätsprüfung über vollständiges HTTPS übertragen werden. "Disconnect" bestätigt, dass kein reiner HTTP-Datenverkehr von Google Play empfangen wurde.
