Ein Webentwickler-Fettnäpfchen

Sollten vertrauliche Daten über eine HTTP-Verbindung (ohne 's') übertragen? Nein! Passiert es trotzdem an allen Ecken und Enden im Internet? JA! Dieser Zufallsfund des CCCZH zeigt, wie man die eigene Web-Applikation nicht hosten sollte.

Letzten Dezember hat der CCCZH in einem einfachen Setup demonstriert, warum man seinen Netzwerkverkehr verschlüsseln sollte, insbesondere wenn es sich um vertrauliche Informationen handelt. Wie lässt sich dieses an und für sich abstrakte Thema veranschaulichen? Die Bilder aus den HTTP-Verbindungen extrahieren und darstellen? Die DNS-Anfragen herausfiltern und den einzelnen Usern zuordnen? Alles schön und gut, denn so sieht der User einmal, was wirklich durch das Netz fliegt. Es gibt unzählige Beispiele von Webservern, die Inhalte unverschlüsselt ausliefern.

Das schwerwiegenste aller Beispiele zeigt ein kritisches Sicherheitsloch in mehreren Smartphone-Apps und in einer zugehörigen Webseite. Dieses Beispiel konnte für die Demonstration im letzten Dezember leider nicht verwendet werden -- zum Schutz des Herstellers. Die betroffenen Smartphone-Apps verbinden sich regelmässig mit einem Webserver, um dort Content-Updates herunterzuladen. Natürlich ist der Webserver mit einem Usernamen und Passwort geschützt, doch leider wird beides unverschlüsselt via HTTP übertragen, wie der CCCZH durch eine Analyse des Netzwerkverkehrs zeigen konnte.

Doch es kommt noch schlimmer: der Username lautet 'admin'. Es handelt sich also um den Administrator-Zugang zum Webserver und erlaubt das Administrieren aller Apps, die sich auf diesen Service stützen. Ohne irgendeine Verschlüsselung zu knacken oder zu umgehen ist es so jedem möglich Content für die Apps zu generieren und womöglich sogar Updates auszulösen. Sogar ein Benachrichtigen aller Telefone mit der betroffenen App per Push-Nachricht ist möglich ("Warning! Your message will be sent to 4675 android and 8143 iphone users."). Folgende Screenshots lassen uns erahnen, welcher Schaden damit angerichtet werden kann.

App Screenshot App Screenshot App Screenshot App Screenshot App Screenshot App Screenshot App Screenshot

Der Hersteller der Apps und der Webseite, die getunik AG, hat sich nach einem Hinweis des CCCZH des Problems angenommen. Momentan ist ein Login mit den geleakten Zugangsdaten zwar noch möglich, aber die Apps zum Administrieren wurden entfernt. Beim Beheben der Probleme hat sich die getunik AG vorbildlich verhalten: offen, effizient und kooperativ. Die Gefahr des Datenmissbrauchs bestehe nun nicht mehr, so der Hersteller.

Nach dem Wissen des CCCZH wurden die Nutzer jedoch nicht informiert. Die getunik AG wirbt auf ihrer Webseite (http://www.getunik.com/en/agency) mit dem Slogan "We make the web a better place". Besser für wen?, diese Frage stellt sich da natürlich. Für den Benutzer wohl nicht. Und für die Auftraggeber der Apps auch nicht.

Folgende Apps sind vermutlich von dem Sicherheitsloch betroffen:

Den Benutzern dieser Apps rät der CCCZH dazu, die App baldmöglichst upzudaten. Das Update beseitigt die Schwachstelle.