Artikel Sicherheits-Update im App Store merzt fünf mögliche Angriffe auf iTunes-Kunden und Konten aus
Facebook
Twitter
Kommentieren (17)

Sicherheits-Update im App Store merzt fünf mögliche Angriffe auf iTunes-Kunden und Konten aus

17 Kommentare

Apples iTunes Store kommuniziert zukünftig nur noch via HTTPS mit allen Kunden, die das Software-Kaufhaus über iPhone, iPad oder iTunes besuchen. Die Umstellung, die Apple in dem Knowledge-Base Artikel mit der Kennziffer HT1318 beschrieben hat, unterbindet gleich fünf unterschiedliche Angriffs-Szenarien.

Mit dem Wechsel hin zum komplett verschlüsselten Datenaustausch reagiert Apple auf die Erkenntnisse des Google-Mitarbeiters und Security-Experten Elie Bursztein. Dieser hatte die Sicherheitslücken bereits im juli 2012 gemeldet und beschreibt die potentiell gefährlichen Attacken in seinem Blog elie.im.

Die Tatasche, dass der Traffic zwischen den Endgeräten und dem iTunes Store bislang unverschlüsselt übertragen wurde, ermöglichte sogenannte Man-In-The-Middle Angriffe auf iTunes-Nutzer.

Kaufte man neue iOS-Anwendungen etwa über das offene W-Lan des Nachbarn ein, hätte dieser nicht nur das Passwort auslesen, sondern auch die zum Kauf vorgesehene Applikation durch eine andere ersetzen können.


(Direkt-Link)

Bursztein beschreibt die nun nicht mehr möglichen Angriffe stichpunktartig:

  • Passwortklau: Mit einerm falschen Eingabefenster wäre es dem Betreiber des offenen W-Lans möglich gewesen das Nutzer-Passwort nach dem Start der App Store-App abzufangen

  • App Autausch: Hat sich der Nutzer zum Kauf einer App entschieden, hätte der W-Lan Betreiber diese durch eine andere App austauschen und den Nutzer so zum Download einer kostenpflichtigen Anwendung auch dann “zwingen” können, wenn eine Kostenlose gewählt wurde.
  • Falsche App-Updates: Updates hätten manipuliert und auch dann angezeigt werden können, wenn kein Update zum Download bereit stand.
  • Verhinderung neuer App-Installationen: Die Installation ausgewählter Anwendungen hätte vom W-Lan Betreiber unterbunden werden können.
  • Daten-Abgriff: Der W-Lan Betreiber hätte bei Update-Anfragen alle bereits auf dem Gerät installierten Apps auslesen können.
Diskussion 17 Kommentare.
Dieser Unterhaltung fehlt Deine Stimme.
  1. Hoffe es wird nicht noch langsamer. Dauert 5-8 sekunden, bis die charts angezeigt werden. Das war früher deutlich schneller.

    — Martin
    • Sei froh dass sie überhaupt angezeigt werden. Bei mir weden sie seit ca. Nem Monat nicht mehr angezeigt. Da kam und kommt einfach von heute auf morgen ein newNullRequest Error. Suchen geht aber noch. -.-

      — Willy W.
      • Hatte ich auch nach ne restore der sowieso nötig war gings dann wieder perfekt :)

        — Juschan
  2. Bin etwas schockiert, da ich bisher davon ausging, dass das ohnehin nur per SSL bzw. https gehen würde.

    — BeamMeiPhone
    • Die Verbindung mit dem Accountserver für Einkäufe und dergleichen war schon immer verschlüsselt. Es geht hier lediglich um die Massendaten wie die statischen Inhalte des AppStore und iTunes Store. Das ist kein Sicherheitsrisiko beim Abhören der Verbindung, lediglich wenn Daten via MITM modifiziert werden und die Nutzer auf diese Weise Ihr Kennwort an falscher Stelle eingeben.

      — Michael F
  3. Man genau wurde das umgestellt? Vielleicht hängt das ja mit meinem Problem am AppleTV zusammen wo seit letztem Donnerstag nur noch “Verbindung zum iTunes Store” mit dem Ladekreis auftaucht wenn ich zum Beispiel die Podcast App öffne. Einzig iTunes Match funktioniert wobei da das Apple TV auch explizit angibt das es eine Verbindung mit der iCloud herstellt und nicht mit dem iTs

    — komacrew
  4. Wow, endlich ein amazing Feature welches auf der nächsten iOS Vorstellung bestimmt extra hervorgehoben wird xD traurig das Apple erst von google(‘s mitarbeiter) darauf hingewiesen werden muss…

    — kleiner Pirat

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Der iPhone-Ticker ist Deutschlands führendes Online-Magazin rund um das iPhone. Seit 2007 informieren wir täglich
über das Apple-Telefon und damit in Verbindung stehende Soft- und Hardwareprodukte.
Insgesamt haben wir 14253 Artikel in den vergangenen 2612 Tagen veröffentlicht. Und es werden täglich mehr.


ifun - Love it or leave it   ·   Copyright © 2014 aketo GmbH - Alle Rechte vorbehalten   ·   Impressum   ·   Auf dieser Seite werben   ·   RSS