Categories: MobileMobile Apps

SSL-Bug gefährdet Tausende iOS-Apps

Tausende iOS-Apps mit einer alten Version verbreiteten Netzwerkbibliothek nutzen sind anfällig für Spionageangriffe. Das haben Sicherheitsforscher herausgefunden. Demnach können Angreifer im selben Netzwerk eigentlich verschlüsselte Daten mitlesen.

Der Fehler befindet sich im Secure-Sockets-Layer-Code (SSL) der Bibliothek AFNetworking. Anwendungsentwickler verwenden sie häufig für Netzwerkfunktionen ihrer iOS-Programme. Das Framework erhielt in den vergangenen sechs Wochen drei Aktualisierungen. Diese haben unterschiedliche SSL-Lücken beseitigt, die darauf aufsetzende Apps für Man-in-the-middle-Angriffe anfällig machen.

Die aktuelle Version 2.5.3 von AFNetworking schließt eine Schwachstelle im Domainnamen-Validierungsprozess der Bibliothek. Die Analytics-Firma SourceDNA – die den wiederkehrenden Fehler gefunden hatte – geht davon aus, dass mindestens 25.000 Apps noch anfällig sind, weil sie eine veraltete Ausgabe der Library nutzen.

“Wenn Sie AFNetworking verwenden (jegliche Version), müssen Sie auf 2.5.3 aktualisieren”, teilte SourceDNA mit. “Außerdem sollten Sie Public Key oder zertifikatsbasiertes Pinning als zusätzliche Schutzmaßnahme aktivieren. Keiner dieser Game-over-SSL-Bugs betraf Anwendungen, die Pinning nutzten.”

Zu der eigentlichen Schwachstelle führt SourceDNA weiter aus: “Die Domainnamen-Validierung kann durch den Flag validatesDomainName aktiviert werden, ist aber standardmäßig ausgeschaltet. Es wurde nur aktiviert, wenn Zertifikat-Pinning eingeschaltet wurde, wovon aber zu wenige Entwickler Gebrauch machen.”

Angreifer, im selben WLAN-Netz wie das Opfer, können relativ einfach Daten beim Versenden abfangen. Diese sollten eigentlich verschlüsselt sein. “Weil der Domainname nicht geprüft wurde, war alles, was sie dafür brauchten, ein gültiges SSL-Zertifikat für irgendeinen Web-Server, das man für 50 Dollar kaufen kann”, so SourceDNA.

Seltsamerweise scheint sich der Bug in Version 2.5.2 von AFNetworking wieder eingeschlichen zu haben, nachdem er mit einer Vorversion beseitigt wurde. Version 2.5.2 korrigierte ihrerseits eine kritische HTTPS-Lücke, die rund 1500 iOS-Apps betraf. Laut AFNetworkings Update auf GitHub von letzter Woche sieht die Standard-Sicherheitsrichtlinie der Bibliothek nun die Validierung des Domainnamens vor und nicht bei Public Key oder Zertifikat-Pinning.

Ein Sicherheitsexperte bei Yelp hatte den Fehler in AFNetworking 2.5.2 entdeckt, eine der Firmen, die die Open-Source-Bibliothek nutzen. Sicherheitsforscher, die vorherige SSL-Bugs in der Library untersuchten, wiesen darauf hin, dass andere beliebte Apps wie Pinterest, Heroku und Simple sie ebenfalls für iOS- und OS-X-Apps einsetzten.

iOS-Nutzer können mithilfe eines von SourceDNA entwickelten Suchwerkzeugs prüfen, ob die von ihnen verwendeten Apps anfällig sind. Dazu müssen sie lediglich den Namen des Entwicklers eingeben.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

11 Minuten ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

3 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago