Tausende iOS-Apps mit einer alten Version verbreiteten Netzwerkbibliothek nutzen sind anfällig für Spionageangriffe. Das haben Sicherheitsforscher herausgefunden. Demnach können Angreifer im selben Netzwerk eigentlich verschlüsselte Daten mitlesen.
Der Fehler befindet sich im Secure-Sockets-Layer-Code (SSL) der Bibliothek AFNetworking. Anwendungsentwickler verwenden sie häufig für Netzwerkfunktionen ihrer iOS-Programme. Das Framework erhielt in den vergangenen sechs Wochen drei Aktualisierungen. Diese haben unterschiedliche SSL-Lücken beseitigt, die darauf aufsetzende Apps für Man-in-the-middle-Angriffe anfällig machen.
Die aktuelle Version 2.5.3 von AFNetworking schließt eine Schwachstelle im Domainnamen-Validierungsprozess der Bibliothek. Die Analytics-Firma SourceDNA – die den wiederkehrenden Fehler gefunden hatte – geht davon aus, dass mindestens 25.000 Apps noch anfällig sind, weil sie eine veraltete Ausgabe der Library nutzen.
“Wenn Sie AFNetworking verwenden (jegliche Version), müssen Sie auf 2.5.3 aktualisieren”, teilte SourceDNA mit. “Außerdem sollten Sie Public Key oder zertifikatsbasiertes Pinning als zusätzliche Schutzmaßnahme aktivieren. Keiner dieser Game-over-SSL-Bugs betraf Anwendungen, die Pinning nutzten.”
Angreifer, im selben WLAN-Netz wie das Opfer, können relativ einfach Daten beim Versenden abfangen. Diese sollten eigentlich verschlüsselt sein. “Weil der Domainname nicht geprüft wurde, war alles, was sie dafür brauchten, ein gültiges SSL-Zertifikat für irgendeinen Web-Server, das man für 50 Dollar kaufen kann”, so SourceDNA.
Seltsamerweise scheint sich der Bug in Version 2.5.2 von AFNetworking wieder eingeschlichen zu haben, nachdem er mit einer Vorversion beseitigt wurde. Version 2.5.2 korrigierte ihrerseits eine kritische HTTPS-Lücke, die rund 1500 iOS-Apps betraf. Laut AFNetworkings Update auf GitHub von letzter Woche sieht die Standard-Sicherheitsrichtlinie der Bibliothek nun die Validierung des Domainnamens vor und nicht bei Public Key oder Zertifikat-Pinning.
Ein Sicherheitsexperte bei Yelp hatte den Fehler in AFNetworking 2.5.2 entdeckt, eine der Firmen, die die Open-Source-Bibliothek nutzen. Sicherheitsforscher, die vorherige SSL-Bugs in der Library untersuchten, wiesen darauf hin, dass andere beliebte Apps wie Pinterest, Heroku und Simple sie ebenfalls für iOS- und OS-X-Apps einsetzten.
iOS-Nutzer können mithilfe eines von SourceDNA entwickelten Suchwerkzeugs prüfen, ob die von ihnen verwendeten Apps anfällig sind. Dazu müssen sie lediglich den Namen des Entwicklers eingeben.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…