Apple schließt Sicherheitslücke im App Store

Nach mehr als einem halben Jahr hat Apple nun eine Sicherheitslücke im App Store geschlossen, über die Angreifer unverschlüsselte Kennwörter abfangen und nicht autorisierte Käufe tätigen konnten. Aufmerksam gemacht wurde Apple auf die Lücke bereits im Juli 2012 von dem französischen Sicherheitsexperten Elie Bursztein, der bei Google an der Absicherung von Software und Diensten arbeitet und unter anderem für das CAPTCHA-System von Wikipedia verantwortlich ist. Durch die Lücke konnten Angreifer in jedem öffentlichen Internetzugang wie beispielsweise einem WiFi-Hotspot im Café oder auf dem Flughafen die Kommunikation zwischen iOS-Gerät oder Mac und dem App Store abfangen und manipulieren. Beispielsweise war es möglich, eine falsche Update-Nachricht zu senden, die das Opfer zur Eingabe des Apple-ID-Kennworts auffordert. App-Käufe und Upgrade konnten so manipuliert werden, dass statt der gewünschten kostenlosen App eine kostenpflichtige App geladen wurde. Auch das Ausblenden bestimmter Apps aus dem App Store des Kunden war möglich. Zu guter Letzt war es auch möglich, dank des Update-Mechanismus alle installierten Apps des Opfers zu ermitteln. Apple hat das Sicherheitsproblem behoben, indem die Kommunikation mit dem App Store nun vollständig über das verschlüsselte HTTPS-Protokoll erfolgt.

Weiterführende Links:

Kommentare

Stefan-s11.03.13 10:49
Und warum hat apple dafür so lange gebraucht?
barabas11.03.13 10:52
Stefan-s
Und warum hat apple dafür so lange gebraucht?

Hmm, das war auch mein erster Gedanke.
Trotzki11.03.13 11:41
Die Leute bei Apple haben keine Zeit mehr für solche läppischen Sicherheitslücken -- die arbeiten doch alle mit Hochdruck an "the next big thing"
Tuco11.03.13 12:14
Was würde Apple bloß ohne Google machen?
o.wunder
o.wunder11.03.13 12:37
Ach ja da waren ja diese Fälle so teure chinesische Apps ohne Wissen des Kunden gekauft wurden.

Das ist ja schon eine Ewigkeit bekannt.

Apple hat tatsächlich bisher keine verschlüsselte Verbindung eingesetzt? Oh weh!
Das macht doch jeder online Shop.

Und dann brauchen die so lange um https einzubauen?

Peinlich.
sierkb11.03.13 13:03


+1
matt.ludwig11.03.13 14:47
sierkb


+1

korg71
korg7111.03.13 17:42
und das kann jeder 08/15 Typ der am Flughafen sitzt, sich langweilt und kurz Accounts knackt und sich die Apps runter zieht?

also dazu gehört schon fundiertes Können, Wissen und Erfahrung das nicht kurz durch eine Googlesuche sich aneignen kann...

aber sicher und verschlüsselt sollte der Store sein, keine Frage

(kann mir einer sagen, wie man hacken lernt)
Gib mir dein Geld!
Stefan-s11.03.13 17:53
...ganz einfach:ne Axt und fleissig üben...

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen