Sicherheitslücke im Apple iOS geschlossen

Sicherheitslücke im Apple iOS geschlossen

Apple hat das SSL-Sicherheitsleck „Go to Fail“ inzwischen behoben und bietet ein Softwareupdate an. Mitte Februar war bekannt geworden, dass Apples Implementation des Web-Verschlüsselungsstandards SSL in aktuellen OS X- und iOS-Versionen unsicher ist.

Der Programmfehler hatte es Hackern ermöglicht, sich in SSL-Verbindungen einzuklinken, die eigentlich als sicher gelten, und deren Inhalt auszulesen sowie zu manipulieren. Allerdings konnte die Sicherheitslücke nur ausgenutzt werden, wenn sich Angreifer und Betroffener im selben lokalen Netzwerk befanden, sprich mit demselben WLAN-Router verbunden waren. Insbesondere Nutzer mobiler Geräte wie Smartphones und Tablets waren betroffen, beispielsweise in Cafés oder Flughäfen mit öffentlichem WLAN. Die Späh-Attacken konnten vom Nutzer nicht bemerkt werden. Das mobile Netz der jeweiligen Mobilfunkanbieter war jedoch nicht betroffen. Nutzer, die beispielsweise mit ihrem iPad Air mit mobilem Internet von 1&1 in der U-Bahn E-Mails oder Kontodaten überprüft haben, können somit aufatmen. Da das iPad Air besonders beliebt ist und in Deutschland schätzungsweise bereits zwischen 4 und 5 Millionen Geräte verkauft wurden, dürften Nutzer derselben im öffentlich zugänglichen WLAN besonders häufig betroffen sein. Erleichtert sein können dagegen diejenigen, die im öffentlichen WLAN nicht Apples eigenen Internetbrowser Safari verwendet haben, sondern beispielsweise über Mozilla Firefox oder Google Chrome surfen. Denn die zuletzt genannten verfügen über ihre eigenen SSL-Bibliotheken und waren von dem Fehler nicht betroffen. Neben Safari waren zudem weitere Apple Programme betroffen, die Sicherheitslücken aufwiesen, wie z.B. Apple Mail, Messages, iBooks und eine Reihe anderer Apple-Anwendungen. Die jüngsten Updates sollen jedoch alle bislang bekannten Fehler beheben. Mehr zu den aktuellsten Sicherheitsupdates von Apple gibt es auf deren Homepage.

Ursprünge der Sicherheitslücke im Dunkeln

Dass man bislang noch nicht herausgefunden hat, wie sich die Sicherheitslücke im ansonsten als relativ sicher geltenden Apple Betriebssystem so lange unbemerkt einschleichen konnte, gibt Anlass zu den wildesten Spekulationen im Netz. Manche bringen den Vorfall in Verbindung mit der NSA-Spionageaffäre. Denn die Sicherheitslücke bei SSL-Verbindungen tauchte zuerst in Apples IOS 6.0 auf, das Ende September 2012 veröffentlicht wurde. Im Oktober wurde Apple laut einem geleakten NSA-Dokument zum Prism-Programm hinzugefügt. Möglicherweise wurde die Lücke in Absprache mit Apple direkt im Quellcode platziert. Vom Worst Case Szenario gehen jedoch die wenigsten Blogger und IT-Experten aus. Wahrscheinlich gab es bei Apple eine unzureichende manuelle Überprüfung der Quellcodes, weswegen sich der Fehler unbemerkt einschleichen konnte und für nachfolgende Betriebssystemen unbemerkt übernommen wurde. Zahlreiche Experten gehen jedoch davon aus, dass die NSA noch vor Apple von der Sicherheitslücke wusste und sie für ihre Zwecke missbrauchte. Tatsächlich lassen sich diese Spekulationen jedoch nicht verifizieren.

Ein Kommentar

Was denken andere über dieses Thema? Schreib deine Meinung!
Markus
kommentierte am 10. Juni 2014 um 9:41 Uhr

Jetzt einfach teilnehmen und 1 von 10 neuen iPads Gewinnen.

Kommentar hinzufügen

mit Facebook verbinden

Trackbacks / Pings

Weitere Reaktionen und interessante Artikel zu diesem Thema