goto fail: Die gefährliche Sicherheitslücke in OS X und iOS

Ben Miller 17

Überraschend veröffentlichte Apple am Samstag iOS 7.0.6 für iPhone, iPod touch, iPad sowie eine neue Software 6.0.2 für das Apple TV. Sogar für das fünf Jahre alte iPhone 3GS ließ Apple eine neue iOS-Version 6.1.6 springen.

Mit den nur wenige Megabyte großen Updates behob Apple ein „Problem beim Überprüfen von SSL-Verbindungen„, wie es in den Versionshinweisen lapidar beschrieben wird. Schnell war aber klar, dass dieses Problem weit kritischerer Natur ist.

Seit iOS 6.0 waren SSL-verschlüsselte Verbindungen auf Abermillionen iOS-Geräten fehlerhaft, untertrieben gesagt. Die Verschlüsselung war unter bestimmten Voraussetzungen nutzlos, auf den Punkt gebracht, was böse Buben und die NSA sicher gefreut hat.

Bilderstrecke starten(15 Bilder)
So sehen eure Homescreens von iPhone und iPad aus

Was ist SSL?

SSL ist ein Verschlüsselungsprotokoll, mit dem Datenverbindungen im Internet verschlüsselt und abgesichert werden. Es ist ein Schlüssel, der die Nutzer-Applikation, wie beispielsweise Browser oder Banking-App, auf der einen und der Server auf der anderen Seite wissen lässt, dass das Gegenüber genau das ist, was es angibt zu sein.

Dieser digitale Handschlag schützt persönliche Zugangsdaten und private E-Mails vor den Augen und dem Zugriff Dritter. Es sei denn, es besteht ein „Problem beim Überprüfen von SSL-Verbindungen„. Ja dann sind sogenannte „Man-in-the-middle-Attacks“ möglich. Bei diesen Mittelsmannangriffen kann der eigentlich geschützte Datenverkehr abgefangen, modifiziert und weitergegeben werden, ohne dass in diesem Fall iOS etwas davon bemerkt.

Wirklich heikel wird dieses Problem in öffentlichen Netzen wie Hotspots, weniger in den eigenen vier Wänden, ist dort aber nichts desto minder existent.

Dass dieses „Problem“ zum ersten Mal in iOS 6.0 auftaucht, welches Apple im September 2012 veröffentlicht hat, und Apple laut Snowdens Dokumenten im Oktober 2012 zum PRISM-Programm der NSA hinzugefügt wurde, lässt natürlich Raum für Spekulationen. War es ein schlichter Programmierfehler? Ein Flüchtigkeitsfehler? Wurde dieser Bug absichtlich platziert? Wenn ja, von wem? Apple selbst dürfte kein Interesse daran haben, dass dessen Produkte unsicher sind bzw. als solche gelten.

In iOS hat Apple diese Sicherheitslücke mit den Updates auf iOS 7.0.6 und iOS 6.1.6 nun geschlossen. In OS X hingegen besteht das Problem weiterhin, aber nicht jede Applikation ist davon betroffen. Firefox, Chrome und viele andere Browser von Drittherstellern sind sicher, die jeweils neuste Version vorausgesetzt.

Apples Safari-Browser, Mail- und Kalender-App, Facetime, Keynote, iMessage, die Twitter-Integration und sogar die Software-Aktualisierung von OS X fallen dem SSL-Problem jedoch zum Opfer.

Das eigene System bzw. den eigenen Browser kann man über die Webseite www.gotofail.com auf diese SSL-Sicherheitslücke überprüfen.

Gegenüber der Nachrichtenagentur Reuters verspricht Apple ein zeitnahes Update für OS X. In der Zwischenzeit sollte man zumindest in öffentlichen Netzwerken auf die oben gelisteten Applikationen verzichten, andere Nutzer auf diese Lücke aufmerksam machen und allgemein vorsichtig sein, welche Informationen man wann und wo über die Leitung schickt.

Zu den Kommentaren

Kommentare zu dieser News

* Werbung