Man in the Middle – iPhone (Apple-Shop) – ProxmoxR – Applikation

ProxmoxR - Man in the Middle ApplikationBeim Austesten von Erweiterungen für Server-Kunden, haben wir eine große Sicherheitslücke in einer Applikation mit dem Namen ProxmoxR gefunden, die durch den Apple-Store für iPhone und iPad vertrieben wird!

Viel schlimmer ist dabei, daß die Kommunikation dabei über Server eines Server-Hosters erfolgt, der bereits mehrfach gehackt worden ist, letztmalig vor einigen Tagen: im Januar 2016!

Es ist für uns unverständlich, daß hier Apple seine Entwickler nicht verpflichtet, nur Applikationen heraus zu geben, die nur direkt mit den Gegenstellen kommunizieren dürfen bzw. andernfalls Kunden von iPhones und iPads deutlich und mehrfach darauf hingewiesen werden müssen, daß die Applikation nur durch eine Umleitung kommuniziert, die unter Umständen nicht sicher ist!

Eine Umleitung von Datenpaketen, aus welchem Grund auch immer, die dem Anwender nicht bekannt gemacht wird, nennt man „Man in the middle“! Wir haben bereits in einem anderen Fall einen solchen „Man in the middle“ aufgedeckt, der durch einen großen Telekomunikations-Provider in Österreich im Bereich von verschlüsselten eMails erfolgt!

Die große Gefahr bei jeglicher Kommunikation über Proxy oder „Man in the middle“-Servern besteht, daß die fremden Server die Zugangsdaten im Klartext erhalten und erst einmal zwischen speichern müssen, um dann von dort aus wieder eine Kommunikation zum Endgerät bereit stellen zu können! Ferner werden dabei die eigentlich sonst verschlüsselten und nicht auslesbaren Datenpakete im Klartext ausgelesen und weiter gesendet und können nicht nur theoretisch, sondern auch praktisch in anderen Servern mitprotokolliert werden!

Proxmox selbst ist eine Hosting-Suite für das Hosten von virtuellen Servern und ist selbst auch sehr sicher! Wir von 1awww setzen auch erfolgreich Proxmox ein, verwenden aber zusätzliche Absicherungs-Systeme, um die Host-Systeme vor Einbrüchen zu schützen!

Die Applikation ProxmoxR stammt ganz offensichtlich nicht von den Entwicklern von Proxmox, sondern von einem Drittanbieter binadit! Über diese Applikation können je nach erfolgter Freigabe durch den Administrator entweder nur ein Kundenserver kontrolliert und gesteuert werden oder ggf. sogar der gesamten Host mit hunderten Servern drauf! Bei einer direkten Kommunikation von iPad oder iPhone zum Proxmox-Server würde auch keine Gefahr bestehen, da die Verbindung normal verschlüsselt erfolgt!

Wenn der Administrator auch das Risiko kennt, daß eine installierte Applikation nicht direkt kommuniziert, kann er ggf. zusätzliche User-Accounts erstellen, bei denen die Rechte stark beschränkt sind oder wird diese Applikation ggf. gar nicht erst einsetzen! Während unserer Tests sind wir entsprechend vorsichtig vorgegangen, weil wir bereits sehr mißtrauisch sind, auch gegenüber großen Software-Herstellern! Es wird aber sicherlich auch Anwender oder sogar Administratoren geben, die diese Applikation einsetzen und sich sogar sicher führen, aber mit der Applikation Tür und Tor zu ihren Servern öffnen!

Beim Austesten der Applikation sind uns ferner diverse Fehler aufgefallen und so haben wir die Log-Files näher betrachtet und sind dann darüber gestoßen, daß der Proxmox-Test-User sich NICHT DIREKT vom iPhone im Proxmox-Host angemeldet hat, sondern die Kommunikation von der IP 88.80.189.116 erfolgte, die beim Hoster EU-Linode GB bzw. USA gehostet wird! Der Server-und Cloud-Hoster EU-Linode wurde aber mehrfach schon gehackt, so wie wir in Google finden konnten in den Jahren 2013, 2015 und jetzt wieder im Januar 2016 und da wachsen uns doch nun wirklich „graue Haare“ – oder?!

Dies Beispiel zeigt aber auch wieder, daß die über die Stores von Apple und Co nichts über die Qualität der vertriebenen Produkte aussagt und so müssen iPhone und iPad Anwender damit sogar rechnen, daß z.B. Mail-Clients oder andere Applikationen genauso unqualifiziert Daten über Umwege (Man in the middle) übertragen, die dann unter Umständen auch von Hackern an den entsprechenden Servern, ausgelesen werden können!

Wir plädieren daher dafür, daß von der Europäischen Union endlich Gesetze geschaffen werden, denen es Firmen verbietet, die Kommunikation ohne vorherige Bekanntgabe, umzuleiten oder ab zu zapfen! Wir erinnern uns an die Datenskandale der Vorjahre, hier einige Artikel dazu:

Man-in-the middle – und mit Recht, ist die Empörung im Netz groß!

Datenskandal: weitere 35 hochrangige Politiker, wie Terroristen abgehört

SSL-Verschlüsselung nicht 100 % – Datenskandal nächste Runde

Datenskandal – die NSA hat die Welt viel umfangreicher ausspioniert

Datenskandal: BlackBerry kopiert Mail-Zugangspasswörter

Datenskandal: Google speichert W-Lan Passwörter unverschlüsselt

Datenskandal – Wirtschaftsspionage nicht ausgeschlossen

 

 

2 Gedanken zu „Man in the Middle – iPhone (Apple-Shop) – ProxmoxR – Applikation“

  1. Pingback: blog.1awww.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.