Apples Infrastruktur für iTunes- und App-Store-Downloads arbeitet nicht TLS-verschlüsselt – und das ist von dem Konzern so auch gewollt. Das berichtet das Magazin Wired unter Berufung auf den Sicherheitsdienstleister Disconnect. Inhalte von Apple unverschlüsselt Wer sich Apps und deren Updates, Musikstücke, Filme oder TV-Serien herunterlädt, tut dies ohne zusätzlichen Schutz via HTTPS. Entsprechend könnten Internet-Provider oder Betreiber eines WLAN problemlos mitschneiden, was ein iOS- oder Mac-Nutzer von Apple bezieht. Jeder der Downloads enthält zudem einen bestimmten von Apple generierten Code, den sogenannten Destination Signaling Identifier (DSID). Dies ist ein von iCloud generierter Wert, der nur unregelmäßig wechselt. Patrick Jackson, Technikchef von Disconnect, fürchtet, dass die DSIDs dazu verwenden werden könnten, das Nutzerverhalten zu tracken. "Man kann aus den Downloads und den Lieblingsmedien so viel schließen", sagte er zu Wired. Problematisch sei auch, dass Nutzer nicht wüssten, wann Downloads verschlüsselt sind und wann nicht – schließlich gibt es hierfür im App Store oder in iTunes kein Icon. Disconnect, dem das Verhalten in den letzten Monaten auffiel, reichte im September einen Bug Report bei Apple ein und beschrieb darin die möglichen Problemfelder, nachdem das Unternehmen den Traffic mit einem Netzwerkanalyzer untersucht hatte. Apples Antwort: Die über HTTP gesendeten, unverschlüsselten Downloads seien ein "erwartetes Verhalten". Zwar seien die Downloads selbst nicht verschlüsselt, andere Phasen der Interaktion zwischen Nutzer und Server aber sehr wohl, darunter die Metadatenübertragung vor dem eigentlichen Download. Zudem existiert ein Prozess, der die heruntergeladenen Dateien kryptografisch auf ihre Integrität überprüft – eine Veränderungen "in transit" ist also nicht möglich. Weitere Angaben, warum nicht SSL eingesetzt wird, machte Apple nicht. Apple verschlüsselt woanders Apple setzt in zahlreichen anderen Bereichen voll auf Verschlüsselung. So müssen App-Entwickler seit 2016 Inhalteübertragungen via TLS vornehmen und Dienste wie iMessage oder FaceTime sind Ende-zu-Ende-verschlüsselt. Nicht jeder Sicherheitsexperte sieht in Apples Verhalten ein Problem. Der iOS-Sicherheitsexperte Will Strafach, den Wired ebenfalls befragte, meinte, die unverschlüsselte Übertragung helfe unter anderem Administratoren in großen Netzwerken, Downloads zu cachen und damit effizienter zu verteilen. Wären sie verschlüsselt, müsste jeder Nutzer seinen eigenen Download erhalten. So merkwürdig Apples Verhalten auch erscheine, eine Sicherheitsbedrohung stelle es nicht dar, solange es die Integritätschecks gebe, meinte Strafach. Auch ein Ausschnüffeln des Nutzers sei mit der TLS-Verschlüsselung nicht grundsätzlich zu unterbinden, da Angreifer sich beispielsweise an den Größen der Apps orientieren könnten. (bsc) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Apples Infrastruktur für iTunes- und App-Store-Downloads arbeitet nicht TLS-verschlüsselt – und das ist von dem Konzern so auch gewollt. Das berichtet das Magazin Wired unter Berufung auf den Sicherheitsdienstleister Disconnect. Inhalte von Apple unverschlüsselt Wer sich Apps und deren Updates, Musikstücke, Filme oder TV-Serien herunterlädt, tut dies ohne zusätzlichen Schutz via HTTPS. Entsprechend könnten Internet-Provider oder Betreiber eines WLAN problemlos mitschneiden, was ein iOS- oder Mac-Nutzer von Apple bezieht. Jeder der Downloads enthält zudem einen bestimmten von Apple generierten Code, den sogenannten Destination Signaling Identifier (DSID). Dies ist ein von iCloud generierter Wert, der nur unregelmäßig wechselt. Patrick Jackson, Technikchef von Disconnect, fürchtet, dass die DSIDs dazu verwenden werden könnten, das Nutzerverhalten zu tracken. "Man kann aus den Downloads und den Lieblingsmedien so viel schließen", sagte er zu Wired. Problematisch sei auch, dass Nutzer nicht wüssten, wann Downloads verschlüsselt sind und wann nicht – schließlich gibt es hierfür im App Store oder in iTunes kein Icon. Disconnect, dem das Verhalten in den letzten Monaten auffiel, reichte im September einen Bug Report bei Apple ein und beschrieb darin die möglichen Problemfelder, nachdem das Unternehmen den Traffic mit einem Netzwerkanalyzer untersucht hatte. Apples Antwort: Die über HTTP gesendeten, unverschlüsselten Downloads seien ein "erwartetes Verhalten". Zwar seien die Downloads selbst nicht verschlüsselt, andere Phasen der Interaktion zwischen Nutzer und Server aber sehr wohl, darunter die Metadatenübertragung vor dem eigentlichen Download. Zudem existiert ein Prozess, der die heruntergeladenen Dateien kryptografisch auf ihre Integrität überprüft – eine Veränderungen "in transit" ist also nicht möglich. Weitere Angaben, warum nicht SSL eingesetzt wird, machte Apple nicht. Apple verschlüsselt woanders Apple setzt in zahlreichen anderen Bereichen voll auf Verschlüsselung. So müssen App-Entwickler seit 2016 Inhalteübertragungen via TLS vornehmen und Dienste wie iMessage oder FaceTime sind Ende-zu-Ende-verschlüsselt. Nicht jeder Sicherheitsexperte sieht in Apples Verhalten ein Problem. Der iOS-Sicherheitsexperte Will Strafach, den Wired ebenfalls befragte, meinte, die unverschlüsselte Übertragung helfe unter anderem Administratoren in großen Netzwerken, Downloads zu cachen und damit effizienter zu verteilen. Wären sie verschlüsselt, müsste jeder Nutzer seinen eigenen Download erhalten. So merkwürdig Apples Verhalten auch erscheine, eine Sicherheitsbedrohung stelle es nicht dar, solange es die Integritätschecks gebe, meinte Strafach. Auch ein Ausschnüffeln des Nutzers sei mit der TLS-Verschlüsselung nicht grundsätzlich zu unterbinden, da Angreifer sich beispielsweise an den Größen der Apps orientieren könnten. (bsc) Zur Startseite