Kritische HTTPS-Lücke betrifft 1500 iOS-Apps

Der Fehler steckt in der Open-Source-Bibliothek AFNetworking. Sie überspringt in der Version 2.5.1 die Überprüfung von SSL-Zertifikaten. Als Folge kann ein Angreifer mithilfe eines gefälschten Zertifikats per HTTPS verschlüsselten Datenverkehr entschlüsseln und beispielsweise Passwörter stehlen.

Die Analytics-Firma SourceDNA hat eine Sicherheitslücke in der HTTPS-Implementierung von rund 1500 iOS-Apps entdeckt. Wie Ars Technica berichtet, könnte ein Angreifer die Schwachstelle nutzen, um die HTTP-Verschlüsselung einer fraglichen App auszuhebeln und Passwörter und andere persönliche Daten zu stehlen.

Verschlüsselung (Bild: Shutterstock)Der Fehler steckt in einer AFNetworking genannten Open-Source-Bibliothek, die viele iOS-Anwendungen für Netzwerkfunktionen benutzen. Die im Januar 2015 freigegebene Version 2.5.1 überspringe die Überprüfung von SSL-Zertifikaten, was die Nutzung gefälschter Zertifikate und damit die Entschlüsselung des Datenverkehrs erlaube. Die Lücke könne beispielsweise von Personen im selben WLAN-Netz ausgenutzt werden.

Dem Bericht zufolge liegt seit drei Wochen die fehlerbereinigte Version 2.5.2 der AFNetworking-Bibliothek vor. Viele iOS-Apps nutzen aber immer noch die unsichere Version 2.5.1. Darunter sind Anwendungen wie Alibaba, Movies by Flixster und Citrix OpenVoice Audio Conferencing.

SourceDNA hat nach eigenen Angaben eine Million der rund 1,4 Millionen Apps in Apples App Store analysiert. Darin seien alle kostenlosen Anwendungen, aber nur die beliebtesten 5000 kostenpflichtigen Apps enthalten. Das Unternehmen schließt deswegen nicht aus, dass mehr als 1500 Apps anfällig sind.

Die betroffenen Apps unterstützen zudem kein Certificate Pinning, wodurch Anwendungen Vorgeschrieben wird, nur ein bestimmtes Zertifikat zu verwenden. Die entsprechende Funktion ist in AFNetworking zwar enthalten, jedoch standardmäßig deaktiviert.

Vor der Veröffentlichung seines Berichts habe SourceDNA die Entwickler der betroffenen Apps kontaktiert, um ihnen die Möglichkeit zu geben, des Leck zu stopfen. Apps von Firmen wie Microsoft, Uber und Yahoo, die den Fehler behoben haben, seien in der genannten Zahl von 1500 fehlerhaften Anwendungen nicht enthalten. Das gelte auch für Apps, die zwar AFNetworking nutzen, aber auf HTTPS verzichten.

iOS-Nutzer können mithilfe eines von SourceDNA entwickelten Suchwerkzeugs prüfen, ob die von ihnen verwendeten Apps anfällig sind.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Apps, Mobile, Sicherheit, Verschlüsselung, iOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Kritische HTTPS-Lücke betrifft 1500 iOS-Apps

Kommentar hinzufügen
  • Am 22. April 2015 um 16:04 von ATX

    Das gilt nicht nur für iOs sondern auch für Android und Windows RT.

    • Am 23. April 2015 um 2:19 von Judas Ischias

      Ach, nur diese beiden Betriebssysteme noch?
      Ich hätte jetzt gedacht, dass es auch die restlichen Betriebssysteme betrifft. ;)

    • Am 23. April 2015 um 16:15 von Punisher

      Eine Quelle wäre nicht schlecht ATX, dann kann man schauen, wie man die Apps prüfen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *