Kritische HTTPS-Lücke betrifft 1500 iOS-Apps

Die Analytics-Firma SourceDNA hat eine Sicherheitslücke in der HTTPS-Implementierung von rund 1500 iOS-Apps entdeckt. Wie Ars Technica berichtet, könnte ein Angreifer die Schwachstelle nutzen, um die HTTP-Verschlüsselung einer fraglichen App auszuhebeln und Passwörter und andere persönliche Daten zu stehlen.

Der Fehler steckt in einer AFNetworking genannten Open-Source-Bibliothek, die viele iOS-Anwendungen für Netzwerkfunktionen benutzen. Die im Januar 2015 freigegebene Version 2.5.1 überspringe die Überprüfung von SSL-Zertifikaten, was die Nutzung gefälschter Zertifikate und damit die Entschlüsselung des Datenverkehrs erlaube. Die Lücke könne beispielsweise von Personen im selben WLAN-Netz ausgenutzt werden.

Dem Bericht zufolge liegt seit drei Wochen die fehlerbereinigte Version 2.5.2 der AFNetworking-Bibliothek vor. Viele iOS-Apps nutzen aber immer noch die unsichere Version 2.5.1. Darunter sind Anwendungen wie Alibaba, Movies by Flixster und Citrix OpenVoice Audio Conferencing.

SourceDNA hat nach eigenen Angaben eine Million der rund 1,4 Millionen Apps in Apples App Store analysiert. Darin seien alle kostenlosen Anwendungen, aber nur die beliebtesten 5000 kostenpflichtigen Apps enthalten. Das Unternehmen schließt deswegen nicht aus, dass mehr als 1500 Apps anfällig sind.

Die betroffenen Apps unterstützen zudem kein Certificate Pinning, wodurch Anwendungen Vorgeschrieben wird, nur ein bestimmtes Zertifikat zu verwenden. Die entsprechende Funktion ist in AFNetworking zwar enthalten, jedoch standardmäßig deaktiviert.

Vor der Veröffentlichung seines Berichts habe SourceDNA die Entwickler der betroffenen Apps kontaktiert, um ihnen die Möglichkeit zu geben, des Leck zu stopfen. Apps von Firmen wie Microsoft, Uber und Yahoo, die den Fehler behoben haben, seien in der genannten Zahl von 1500 fehlerhaften Anwendungen nicht enthalten. Das gelte auch für Apps, die zwar AFNetworking nutzen, aber auf HTTPS verzichten.

iOS-Nutzer können mithilfe eines von SourceDNA entwickelten Suchwerkzeugs prüfen, ob die von ihnen verwendeten Apps anfällig sind.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.