Apple hat eine kritische Sicherheitslücke geschlossen, die Angriffe auf iOS-Geräte ermöglichte. Gemeldet wurde das Problem bereits vor mehr als einem halben Jahr von einem Sicherheitsforscher, der für Google tätig ist. Elie Bursztein machte es jedoch erst jetzt öffentlich, nachdem der iPhone-Hersteller reagiert und die App-Store-Verbindung besser gesichert hatte.
Einige der Angriffsszenarios führt der Sicherheitsforscher in Videos vor. Auf einfache Weise hätten Angreifer Passwörter stehlen oder den Anwender zur Installation einer anderen als der gewünschten App zwingen können. Sie hätten sogar zur Installation einer Bezahl-App anstelle einer kostenlosen bewegen können, also auch zum Kauf extrem kostspieliger Apps bis zum Preis von 999,99 Dollar. Darüber hinaus wäre die Privatsphäre des Nutzers berührt gewesen, da die Liste der auf dem Gerät installierten Anwendungen im Klartext einsehbar war.
Der iPhone-Hersteller behob das Problem in der letzten Woche durch ein Update, mit dem sichergestellt wurde, dass „Inhalte jetzt standardmäßig über HTTPS übermittelt werden“. Fragen dazu wollte ein Apple-Sprecher nicht beantworten – auch nicht, warum es so lange dauerte, die Sicherheitslücke zu schließen.
Sicherheitsforscher Elie Bursztein ist zwar für Google tätig, betont aber, dass er die Probleme in seiner freien Zeit und zuhause aufdeckte. Er veröffentlichte die Einzelheiten in seinem privaten Blog, um auch andere Softwareentwickler zur Nutzung verschlüsselter HTTPS-Verbindungen zu bewegen. „Viele Firmen begreifen nicht, wie wichtig HTTPS für mobile Apps ist“, sagte er.
Als Forscher der Stanford University deckte Bursztein vor einigen Jahren Sicherheitsprobleme bei Captchas auf. 2011 demonstrierte er bei der Konferenz Black Hat, wie sich die in Windows integrierte Verschlüsselung aushebeln lässt, die bei der Speicherung von Passwörtern verwendet wird.
Bursztein veröffentlichte seinen Blogeintrag zufällig kurz nach einem abfälligen Tweet, mit dem sich Apple-Manager Phil Schiller über die Android-Sicherheit lustig machte. Marketingchef Schiller verwies dabei auf einen aktuellen Bericht über stark zunehmende Malware für Android, teilweise durch das schnelle Wachstum der Plattform selbst begründet.
[mit Material von Declan McCullagh, News.com]
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…