App Store: Apple schließt kritische Sicherheitslücke

Apple hat eine kritische Sicherheitslücke geschlossen, die Angriffe auf iOS-Geräte ermöglichte. Gemeldet wurde das Problem bereits vor mehr als einem halben Jahr von einem Sicherheitsforscher, der für Google tätig ist. Elie Bursztein machte es jedoch erst jetzt öffentlich, nachdem der iPhone-Hersteller reagiert und die App-Store-Verbindung besser gesichert hatte.

Der App Store ist als native Anwendung auf iOS-Geräten vorinstalliert, bezieht seine aktiven Inhalte jedoch überwiegend von Apples Servern. Die Schwachstelle entstand, weil Apple dabei nicht durchweg auf die Verschlüsselung mit dem HTTPS-Protokoll setzte. Wie Bursztein herausfand, waren daher Angriffe auf iPhones, iPods oder iPads möglich, sobald sie in einem öffentlichen WLAN-Netz eine App-Store-Verbindung aufbauten. Der Angreifer musste sich dafür lediglich im gleichen Netzwerk – etwa am Flughafen, in einem Hotel oder in einem Café – befinden.

Einige der Angriffsszenarios führt der Sicherheitsforscher in Videos vor. Auf einfache Weise hätten Angreifer Passwörter stehlen oder den Anwender zur Installation einer anderen als der gewünschten App zwingen können. Sie hätten sogar zur Installation einer Bezahl-App anstelle einer kostenlosen bewegen können, also auch zum Kauf extrem kostspieliger Apps bis zum Preis von 999,99 Dollar. Darüber hinaus wäre die Privatsphäre des Nutzers berührt gewesen, da die Liste der auf dem Gerät installierten Anwendungen im Klartext einsehbar war.

Der iPhone-Hersteller behob das Problem in der letzten Woche durch ein Update, mit dem sichergestellt wurde, dass „Inhalte jetzt standardmäßig über HTTPS übermittelt werden“. Fragen dazu wollte ein Apple-Sprecher nicht beantworten – auch nicht, warum es so lange dauerte, die Sicherheitslücke zu schließen.

Sicherheitsforscher Elie Bursztein ist zwar für Google tätig, betont aber, dass er die Probleme in seiner freien Zeit und zuhause aufdeckte. Er veröffentlichte die Einzelheiten in seinem privaten Blog, um auch andere Softwareentwickler zur Nutzung verschlüsselter HTTPS-Verbindungen zu bewegen. „Viele Firmen begreifen nicht, wie wichtig HTTPS für mobile Apps ist“, sagte er.

Als Forscher der Stanford University deckte Bursztein vor einigen Jahren Sicherheitsprobleme bei Captchas auf. 2011 demonstrierte er bei der Konferenz Black Hat, wie sich die in Windows integrierte Verschlüsselung aushebeln lässt, die bei der Speicherung von Passwörtern verwendet wird.

Bursztein veröffentlichte seinen Blogeintrag zufällig kurz nach einem abfälligen Tweet, mit dem sich Apple-Manager Phil Schiller über die Android-Sicherheit lustig machte. Marketingchef Schiller verwies dabei auf einen aktuellen Bericht über stark zunehmende Malware für Android, teilweise durch das schnelle Wachstum der Plattform selbst begründet.

[mit Material von Declan McCullagh, News.com]