goto fail: Diese Apps und Daten sind von der SSL-Schwachstelle betroffen

Ben Miller 14

Ein weiterer Tag neigt sich dem Ende Apple hat die SSL-Schwachstelle in OS X Mavericks immer noch nicht behoben. Sicherheitsexperte Aldo Cortesi hat diese bislang theoretische Lücke nun praktisch demonstriert.

/Update: Apple hat OS X 10.9.2 veröffentlicht und darin die SSL-Schwachstelle behoben.

Sicherheitsexperte Aldo Cortesi zeigt auf seiner Webseite auf, welche Daten von „goto fail“ betroffen sind und wie einfach es ist den eigentlich verschlüsselten Datenverkehr inklusive aller Benutzernamen, Passwörter und sonstiger Informationen auf den betroffenen Betriebssystem-Versionen mitzulesen.

goto fail in freier Wildbahn

Eine modifizierte Version der kostenlos verfügbaren Analyse-Software mitmproxy (man-in-the-middle-proxy - benannt nach der Angriffsform) und unbescholtene OS X-Nutzer im gleichen Netzwerk - mehr braucht es nicht.

Fast der gesamte, verschlüsselte Traffic, mitsamt Benutzernamen, Passwörter, und sogar Apples App-Updates, kann erfasst, modifiziert und weitergereicht werden.

Bilderstrecke starten(13 Bilder)
So sehen eure Mac-Schreibtische aus

It’s difficult to over-state the seriousness of this issue. With a tool like mitmproxy in the right position, an attacker can intercept, view and modify nearly all sensitive traffic. This extends to the software update mechanism itself, which uses HTTPS for deployment„, so Cortesi.

Unter anderem sind folgende Apps, Daten und Dienste sind betroffen:

  • Traffic des App Stores und der Software-Aktualisierung von OS X
  • iCloud-Datenverkehr, einschließlich:
    • iCloud Schlüsselbund
    • Kalender
    • Erinnerungen
    • Find my Mac
  • Safari-Browser
  • Mail-App
  • Facetime
  • iWork Keynote
  • iMessage
  • Twitter und andere Apps, die das sogenannte Certificate Pinning anwenden.

In den neusten iOS-Versionen 6.1.6 und 7.0.6 sowie der aktuellsten Software 6.0.2 für das Apple TV hat Apple die SSL-Schwachstelle bereits geschlossen. OS X 10.9.x Mavericks ist jedoch angreifbar.

Zu den Kommentaren

Kommentare zu dieser News

* Werbung