SSL-Bug gefährdet Tausende iOS-Apps

Tausende iOS-Apps mit einer alten Version verbreiteten Netzwerkbibliothek nutzen sind anfällig für Spionageangriffe. Das haben Sicherheitsforscher herausgefunden. Demnach können Angreifer im selben Netzwerk eigentlich verschlüsselte Daten mitlesen.

Der Fehler befindet sich im Secure-Sockets-Layer-Code (SSL) der Bibliothek AFNetworking. Anwendungsentwickler verwenden sie häufig für Netzwerkfunktionen ihrer iOS-Programme. Das Framework erhielt in den vergangenen sechs Wochen drei Aktualisierungen. Diese haben unterschiedliche SSL-Lücken beseitigt, die darauf aufsetzende Apps für Man-in-the-middle-Angriffe anfällig machen.

Die aktuelle Version 2.5.3 von AFNetworking schließt eine Schwachstelle im Domainnamen-Validierungsprozess der Bibliothek. Die Analytics-Firma SourceDNA – die den wiederkehrenden Fehler gefunden hatte – geht davon aus, dass mindestens 25.000 Apps noch anfällig sind, weil sie eine veraltete Ausgabe der Library nutzen.

“Wenn Sie AFNetworking verwenden (jegliche Version), müssen Sie auf 2.5.3 aktualisieren”, teilte SourceDNA mit. “Außerdem sollten Sie Public Key oder zertifikatsbasiertes Pinning als zusätzliche Schutzmaßnahme aktivieren. Keiner dieser Game-over-SSL-Bugs betraf Anwendungen, die Pinning nutzten.”

Zu der eigentlichen Schwachstelle führt SourceDNA weiter aus: “Die Domainnamen-Validierung kann durch den Flag validatesDomainName aktiviert werden, ist aber standardmäßig ausgeschaltet. Es wurde nur aktiviert, wenn Zertifikat-Pinning eingeschaltet wurde, wovon aber zu wenige Entwickler Gebrauch machen.”

Angreifer, im selben WLAN-Netz wie das Opfer, können relativ einfach Daten beim Versenden abfangen. Diese sollten eigentlich verschlüsselt sein. “Weil der Domainname nicht geprüft wurde, war alles, was sie dafür brauchten, ein gültiges SSL-Zertifikat für irgendeinen Web-Server, das man für 50 Dollar kaufen kann”, so SourceDNA.

Seltsamerweise scheint sich der Bug in Version 2.5.2 von AFNetworking wieder eingeschlichen zu haben, nachdem er mit einer Vorversion beseitigt wurde. Version 2.5.2 korrigierte ihrerseits eine kritische HTTPS-Lücke, die rund 1500 iOS-Apps betraf. Laut AFNetworkings Update auf GitHub von letzter Woche sieht die Standard-Sicherheitsrichtlinie der Bibliothek nun die Validierung des Domainnamens vor und nicht bei Public Key oder Zertifikat-Pinning.

Ein Sicherheitsexperte bei Yelp hatte den Fehler in AFNetworking 2.5.2 entdeckt, eine der Firmen, die die Open-Source-Bibliothek nutzen. Sicherheitsforscher, die vorherige SSL-Bugs in der Library untersuchten, wiesen darauf hin, dass andere beliebte Apps wie Pinterest, Heroku und Simple sie ebenfalls für iOS- und OS-X-Apps einsetzten.

iOS-Nutzer können mithilfe eines von SourceDNA entwickelten Suchwerkzeugs prüfen, ob die von ihnen verwendeten Apps anfällig sind. Dazu müssen sie lediglich den Namen des Entwicklers eingeben.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.