Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

SSL-Lücke in vielen iOS-Apps noch vorhanden

Sicherheitsforscher warnen von einer schwerwiegenden Sicherheitslücke, die in mehr als 1.500 iOS-Apps das Abgreifen von verschlüsselten Internet-Daten erlaubt. Angreifer müssen sich dazu lediglich mit einem geeigneten Hacker-Werkzeug im gleichen Netzwerk wie das iPhone oder iPad befinden. Schuld ist nicht iOS selbst, sondern die Dritthersteller-Komponente "AFNetworking", die nur durch zuständige App-Entwickler aktualisiert werden kann.

Bei der veralteten Version 2.5.1 von AFNetworking ist es möglich, mittels Man-in-the-Middle-Angriff ein gefälschtes SSL-Zertifikat einzuschleusen und damit die übertragenen Daten zu entschlüsseln. Dabei kann es sich beispielsweise um Konto- oder Zugangsdaten handeln, mit denen einen Identitätsdiebstahl durchgeführt werden kann.

Zwar wurde die Lücke vergangenen Monat in AFNetworking behoben, doch nicht alle Entwickler haben ihre App entsprechend aktualisiert. Außer Gefahr sind unter anderem Apps von Microsoft, Uber und Yahoo. Dagegen sind Apps von Alibaba, Citrix und Flixster beispielsweise noch verwundbar.

SourceDNA hat eine Seite () eingerichtet, auf der man Apps auf deren Verwundbarkeit überprüfen kann. Beachtet werden sollte dabei, dass nur die Versionen der verwendeten App-Komponente geprüft werden. Über die generelle Sicherheit kann SourceDNA keine Aussage treffen.

Schon bei der "FREAK"-Lücke hat sich gezeigt, dass App-Komponenten von Drittherstellern ein Sicherheitsproblem darstellen können. Insbesondere wenn Apps nicht mehr gepflegt werden, setzten sich Nutzer einem Risiko aus, da auch ein iOS-Update die Lücken in betreffenden Apps nicht zu beheben vermag.

Weiterführende Links:

Kommentare

Keine Kommentare vorhanden.

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.