Kritische HTTPS-Sicherheitslücke in 1500 iOS-Apps aufgedeckt

Angreifer können mithilfe eines gefälschten Zertifikats per HTTPS verschlüsselten Datenverkehr entschlüsseln und beispielsweise Passwörter stehlen. Verantwortlich ist ein Fehler in der Open-Source-Bibliothek AFNetworking. Dort wird in der Version 2.5.1 die Überprüfung von SSL-Zertifikaten übersprungen.

Die Sicherheitslücke, die die Analytics-Firma SourceDNA jetzt entdeckt hat, steckt in der HTTPS-Implementierung von rund 1500 iOS-Apps. Einem Bericht von Ars Technica zufolge, könnte ein Angreifer die Schwachstelle nutzen, um die HTTP-Verschlüsselung einer fraglichen App auszuhebeln und Passwörter und andere persönliche Daten zu stehlen. Der Fehler steckt in einer AFNetworking genannten Open-Source-Bibliothek, die viele iOS-Anwendungen für Netzwerkfunktionen benutzen.

Die im Januar 2015 freigegebene Version 2.5.1 überspringe die Überprüfung von SSL-Zertifikaten, was die Nutzung gefälschter Zertifikate und damit die Entschlüsselung des Datenverkehrs erlaube. Die Lücke könne beispielsweise von Personen im selben WLAN-Netz ausgenutzt werden.

Verschlüsselung (Bild: Shutterstock

Seit drei Wochen liegt dem Bericht zufolge die fehlerbereinigte Version 2.5.2 der AFNetworking-Bibliothek vor. Viele iOS-Apps nutzen aber immer noch die unsichere Version 2.5.1. Darunter sind Anwendungen wie Alibaba, Movies by Flixster und Citrix OpenVoice Audio Conferencing.

SourceDNA hat nach eigenen Angaben eine Million der rund 1,4 Millionen Apps in Apples App Store analysiert. Darin seien alle kostenlosen Anwendungen, aber nur die beliebtesten 5000 kostenpflichtigen Apps enthalten. Das Unternehmen schließt deswegen nicht aus, dass mehr als 1500 Apps anfällig sind.

Die betroffenen Apps unterstützen zudem kein Certificate Pinning, wodurch Anwendungen Vorgeschrieben wird, nur ein bestimmtes Zertifikat zu verwenden. Die entsprechende Funktion ist in AFNetworking zwar enthalten, jedoch standardmäßig deaktiviert.

Vor der Veröffentlichung seines Berichts habe SourceDNA die Entwickler der betroffenen Apps kontaktiert, um ihnen die Möglichkeit zu geben, des Leck zu stopfen. Apps von Firmen wie Microsoft, Uber und Yahoo, die den Fehler behoben haben, seien in der genannten Zahl von 1500 fehlerhaften Anwendungen nicht enthalten. Das gelte auch für Apps, die zwar AFNetworking nutzen, aber auf HTTPS verzichten.

iOS-Nutzer können mithilfe eines von SourceDNA entwickelten Suchwerkzeugs prüfen, ob die von ihnen verwendeten Apps anfällig sind.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Kritische HTTPS-Sicherheitslücke in 1500 iOS-Apps aufgedeckt

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *