Im Live-Einsatz: So gravierend war bzw. ist Apples SSL-Schwachstelle
Nur wenige Tage nach der fehlerbehebenden iOS-Aktualisierung auf Version 7.0.6 hat der Sicherheits-Experte Aldo Cortesi Apples SSL-Schwachstelle jetzt auf ihren effektiven Nutzen für Nachrichtendienste untersucht und beschreibt seine Analyse des seit rund zwei Jahren bestehenden System-Fehlers in diesem jetzt veröffentlichten Blog-Eintrag.
Cortesi, der die Proxy-Software Mitmproxy für seine Versuche so angepasst hat, dass diese den unverschlüsselt zum iPhone übertragenen Datenverkehr mitlesen kann, zeigt sich überrascht von seinen Ergebnissen und bestätigt die bislang nur theoretisch beschriebenen Ausmaße der Sicherheitslücke.
So gestattet Apples SSL/TLS-Bug allen Angreifern im gleichen Netzwerk, den gesamten Datenverkehr zu vermeintlichen sicheren Seiten mitzulesen. Dies gelte auch für eingegebene Passwörter, Bankdaten, iCloud-Informationen und Software-Aktualisierungen:
Cortesi schreibt:
Nearly all encrypted traffic, including usernames, passwords, and even Apple app updates can be captured. This includes: App store and software update traffic, iCloud data, including KeyChain enrollment and updates, Data from the Calendar and Reminders, Find My Mac updates, Traffic for applications that use certificate pinning, like Twitter.
Ein OS X-Update, mit dem Apple die Lücke auch auf dem Desktop behebt, lässt aktuell noch immer auf sich warten. Cortesi mahnt ein schleuniges Handeln an. Wenn er nur rund 24 Stunden investiert habe, um die Schwachstelle auch im Live-Einsatz ausnutzen zu können, würden auch andere Hacker am Einsatz des Exploits arbeiten.
Cortesi will weitere Details zum Angriff auf die SSL-Verschlüsselung von Mac und iPhone veröffentlichen, sobald Apple aktiv geworden ist und nach iPhone, iPad und Apple TV auch alle aktuellen Macs mit einem Update versorgt hat. Spätestens dann sollten sich auch die von Cortesi vorgenommenen Änderungen an der transparenten Proxy-Software Mitmproxy einsehen lassen.