Digital Life 10.03.2013

Apple schließt kritische Lücke in App Store

© Bild: Apple

Eine Sicherheitslücke, die Angriffe auf iOS-Geräte ermöglichte, wurde nun endlich geschlossen. Gemeldet worden war das Problem bereits vor mehr als einem halben Jahr von einem Google-Sicherheitsforscher. Bekannt gemacht wurde es aber erst jetzt.

Apple hat eine kritische Schwachstelle in seinem App Store beseitigt. Diese soll Angreifern jahrelang erlaubt haben, Passwörter zu stehlen und kostspielige, unerwünschte Programme zu installieren, berichtet Cnet. Die Lücke entstand, weil Apple nicht durchgehend auf die Verschlüsselung mit dem HTTPS-Protokoll setzte, sobald sich ein iPhone oder anderes mobiles Gerät mit dem App Store verbunden hat. Entdeckt wurde die Schwachstelle von Elie Bursztein, ein Sicherheitsexperte, der für Google arbeitet. Er entdeckte, dass Angriffe auf iPhones, iPads und iPods möglich waren, sobald diese über ein öffentliches WLAN-Netz eine Verbindung zum App Store aufbauten. Angreifer mussten sich dann eigentlich nur noch im gleichen WLAN-Netz aufhalten, um sich Zugriff auf die Geräte zu verschaffen.

Beispielfälle in Video
In einem Video führt der Sicherheitsforscher einige Beispiele an, was die Sicherheitslücke zur Folge haben konnte. Abgesehen vom Passwort-Klau konnten Apps installiert werden, die einen Preis von bis zu 999, 99 Dollar hatten. Darüber hinaus sei theoretisch auch die Privatsphäre der Nutzer betroffen gewesen, weil eine Liste der auf dem jeweiligen Gerät installierten Programme im Klartext zu sehen war.

Problem behoben
Apple habe das Problem nun durch ein Update behoben, heißt es. Ab sofort würden Inhalte jetzt standardmäßig über HTTPS übermittelt. Warum es allerdings mehr als ein halbes Jahr gedauert hat, bis die Lücke geschlossen wurde, dazu wollte sich Apple bisher nicht äußern. Bursztein machte seine Entdeckung jedenfalls erst jetzt öffentlich. Er betonte außerdem, er habe die Schwachstelle in seiner Freizeit aufgespürt. In seinem Blog habe er die Einzelheiten nun deshalb veröffentlicht, weil er auch andere Software-Entwickler dazu aufrufen will, von HTTPS-Verschlüsselung Gebrauch zu machen. "Viele Unternehmen verstehen nicht, wie wichtig HTTPS für mobile Apps ist", so Bursztein.

Der Google-Mitarbeiter deckte vor einigen Jahren als Forscher an der Stanford University auch Sicherheitsprobleme bei Captchas auf. Vor zwei Jahren zeigte er bei der Defcon-Konferenz in Las Vegas, wie sich die in Windows integrierte Verschlüsselung umgehen lässt, die beim Speichern von Passwörtern verwendet wird.

Mehr zum Thema

  • Hacker scheitern an Chrome OS
  • Kaspersky: "Flash ist und bleibt ein Problem"
  • Adobe schließt Lücke im PDF-Reader
  • iOS 6.1.2 behebt Exchange-Bug
  • BlackBerry warnt vor Sicherheitslücke
( futurezone ) Erstellt am 10.03.2013