Categories: MobileMobile Apps

Kritische HTTPS-Lücke betrifft 1500 iOS-Apps

Die Analytics-Firma SourceDNA hat eine Sicherheitslücke in der HTTPS-Implementierung von rund 1500 iOS-Apps entdeckt. Wie Ars Technica berichtet, könnte ein Angreifer die Schwachstelle nutzen, um die HTTP-Verschlüsselung einer fraglichen App auszuhebeln und Passwörter und andere persönliche Daten zu stehlen.

Der Fehler steckt in einer AFNetworking genannten Open-Source-Bibliothek, die viele iOS-Anwendungen für Netzwerkfunktionen benutzen. Die im Januar 2015 freigegebene Version 2.5.1 überspringe die Überprüfung von SSL-Zertifikaten, was die Nutzung gefälschter Zertifikate und damit die Entschlüsselung des Datenverkehrs erlaube. Die Lücke könne beispielsweise von Personen im selben WLAN-Netz ausgenutzt werden.

Dem Bericht zufolge liegt seit drei Wochen die fehlerbereinigte Version 2.5.2 der AFNetworking-Bibliothek vor. Viele iOS-Apps nutzen aber immer noch die unsichere Version 2.5.1. Darunter sind Anwendungen wie Alibaba, Movies by Flixster und Citrix OpenVoice Audio Conferencing.

SourceDNA hat nach eigenen Angaben eine Million der rund 1,4 Millionen Apps in Apples App Store analysiert. Darin seien alle kostenlosen Anwendungen, aber nur die beliebtesten 5000 kostenpflichtigen Apps enthalten. Das Unternehmen schließt deswegen nicht aus, dass mehr als 1500 Apps anfällig sind.

Die betroffenen Apps unterstützen zudem kein Certificate Pinning, wodurch Anwendungen Vorgeschrieben wird, nur ein bestimmtes Zertifikat zu verwenden. Die entsprechende Funktion ist in AFNetworking zwar enthalten, jedoch standardmäßig deaktiviert.

Vor der Veröffentlichung seines Berichts habe SourceDNA die Entwickler der betroffenen Apps kontaktiert, um ihnen die Möglichkeit zu geben, des Leck zu stopfen. Apps von Firmen wie Microsoft, Uber und Yahoo, die den Fehler behoben haben, seien in der genannten Zahl von 1500 fehlerhaften Anwendungen nicht enthalten. Das gelte auch für Apps, die zwar AFNetworking nutzen, aber auf HTTPS verzichten.

iOS-Nutzer können mithilfe eines von SourceDNA entwickelten Suchwerkzeugs prüfen, ob die von ihnen verwendeten Apps anfällig sind.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago