Sicherheitslücke in 1.500 iOS-Apps erlaubt Mitlesen von HTTPS-Verbindungen

Holger Eilhard

Aufgrund einer Sicherheitslücke in der Open-Source-Bibliothek AFNetworking ist laut Forschern das Mitlesen von verschlüsselten Verbindungen in 1.500 Apps möglich. Die Lücke erlaubt Angreifern das Mitlesen von Passwörtern, Bankdaten oder sonstigen privaten Informationen.

Laut den Forschern von SourceDNA (via Ars Technica) nutzen 1.500 Apps für iPhone und iPad die alte Version 2.5.1 der AFNetworking-Bibliothek. Der SSL-Implementation in dieser Version fehlt eine Verifizierung der SSL-Zertifikate, womit mit Hilfe eines so genannten „Man in the middle„-Angriffs das Mitlesen der verschlüsselten Verbindungen relativ einfach möglich ist.

Laut SourceDNA war die Lücke vom 24. Januar bis 25. März 2015 im Code von AFNetworking vorhanden. iOS-Entwickler, die in diesem Zeitraum die Bibliothek heruntergeladen haben, verwenden daher möglicherweise die betroffene Version. Mit Version 2.5.2 hatten die Entwickler die Lücke am 26. März geschlossen.

Bilderstrecke starten(8 Bilder)
Erweiterung in iOS 8 nutzen – ein Beispiel

Um feststellen zu können welche Apps von der Lücke betroffen sind, erstellte SourceDNA diverse Fingerabdrücke der verschiedenen AFNetworking-Version und verglich diese unter anderem mit allen kostenlosen Apps, die im App Store verfügbar sind. Insgesamt sollen eine Million der insgesamt 1,4 Millionen Apps gescannt worden sein.

SourceDNA erkannte dabei 1.500 Apps, die AFNetwork 2.5.1 verwenden, HTTPS nutzen und kein so genanntes certificate pinning einsetzen. Betroffen sind lediglich die Apps, die die alte AFNetworking-Version einsetzen.

SourceDNA vermutet, dass viele Entwickler nichts von der Sicherheitslücke wissen. So wurden am 1. April nur 1.000 betroffene Apps von SourceDNA gefunden, diese Zahl stieg auf 1.500 am 18. April. Es liegt nun bei den iOS-Entwicklern der betroffenen Apps, diese möglichst zeitnah zu aktualisieren und im App Store ein entsprechendes Update anzubieten.

Eine Suchfunktion von SourceDNA erlaubt die Suche nach betroffenen Apps. Eine vollständige Liste aller betroffenen Apps stellt man absichtlich nicht zur Verfügung.

Zu den Kommentaren

Kommentare zu dieser News

* Werbung