Sicherheitslücke in iPhone Apps

iOS 8.2 Fixes Freak Security Flaw

Ein Fehler in der Software-Bibliothek AFNetwork für App-Enwickler führt zu einer Sicherheitslücke in iOS-Apps. 25.000 Apps für iPhone und iPad sollen betroffen sein.


iphone6_hands_reset
Die Sicherheitslücke auf iPhone und iPad schien bereits behoben, doch es gibt erneute Meldungen im Zusammenhang mit der Software-Bibliothek AFNetworking. Eine Schwachstelle beim sicher geglaubten HTTPS gestattete mehrere Wochen lang eine Attacke auf verschlüsselte Verbindungen von iOS-Apps. Der Bug im Quellcode hebelte die Überprüfung, ob ein Programm von einem vertrauenswürdigen Herausgeber stammt oder nicht, aus.
Daraus folgend konnten Angreifer bei der Nutzung einer entsprechenden App unbemerkt den Datenverkehr entschlüsseln, den Text lesen und die Pakete mit einem eigenen Zertifikat wieder verschlüsseln. Betroffen waren nur Apps deren Entwickler die Software-Bilbliothek AFNetworking (Version 2.5.1) genutzt haben. Laut den Sicherheitsspezialisten von SourceDNA seien dies über 1000 Anwendungen, darunter auch iOS-Apps von Microsoft, Citrix, Yahoo und Uber.

Mit dem Update auf Version 2.5.2 von AFNetwork sollte die Sicherheitslücke eigentlich behoben worden sein. Doch wie Ars Technica berichtet, sei das Problem damit nicht aus der Welt. Denn auch das Update enthalte noch problematischen Code. Hacker könnten das Secure-Sockets-Layer-Protokoll (SSL) überlisten, da der Domain-Name, der zu einem bestimmten SSL-Zertifikat gehört, nicht korrekt überprüft werde.

Erst ab Version 2.5.3. ist die Schwachstelle vollständig beseitigt und die Apps wieder sicher.
Damit sind potentiell mindestens 25.000 Apps für iOS gefährdet.