{"id":61667,"date":"2014-02-25T17:05:32","date_gmt":"2014-02-25T16:05:32","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=61667"},"modified":"2014-02-26T09:40:46","modified_gmt":"2014-02-26T08:40:46","slug":"im-live-einsatz-so-gravierend-war-bzw-ist-apples-ssl-schwachstelle","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/im-live-einsatz-so-gravierend-war-bzw-ist-apples-ssl-schwachstelle-61667\/","title":{"rendered":"Im Live-Einsatz: So gravierend war bzw. ist Apples SSL-Schwachstelle"},"content":{"rendered":"

Nur wenige Tage nach der fehlerbehebenden iOS-Aktualisierung auf Version 7.0.6<\/a> hat der Sicherheits-Experte Aldo Cortesi Apples SSL-Schwachstelle<\/a> jetzt auf ihren effektiven Nutzen f\u00fcr Nachrichtendienste untersucht und beschreibt seine Analyse des seit rund zwei Jahren bestehenden System-Fehlers in diesem<\/a> jetzt ver\u00f6ffentlichten Blog-Eintrag. <\/p>\n

\"bug\"<\/a><\/p>\n

Cortesi, der die Proxy-Software Mitmproxy<\/a> f\u00fcr seine Versuche so angepasst hat, dass diese den unverschl\u00fcsselt zum iPhone \u00fcbertragenen Datenverkehr mitlesen kann, zeigt sich \u00fcberrascht von seinen Ergebnissen und best\u00e4tigt die bislang nur theoretisch beschriebenen Ausma\u00dfe der Sicherheitsl\u00fccke. <\/p>\n

So gestattet Apples SSL\/TLS-Bug<\/a> allen Angreifern im gleichen Netzwerk, den gesamten Datenverkehr zu vermeintlichen sicheren Seiten mitzulesen. Dies gelte auch f\u00fcr eingegebene Passw\u00f6rter, Bankdaten, iCloud-Informationen und Software-Aktualisierungen: <\/p>\n

Cortesi schreibt: <\/p>\n

Nearly all encrypted traffic, including usernames, passwords, and even Apple app updates can be captured. This includes: App store and software update traffic, iCloud data, including KeyChain enrollment and updates, Data from the Calendar and Reminders, Find My Mac updates, Traffic for applications that use certificate pinning, like Twitter.<\/p><\/blockquote>\n

Ein OS X-Update, mit dem Apple die L\u00fccke auch auf dem Desktop behebt, l\u00e4sst aktuell noch immer auf sich warten. Cortesi mahnt ein schleuniges Handeln an. Wenn er nur rund 24 Stunden investiert habe, um die Schwachstelle auch im Live-Einsatz ausnutzen zu k\u00f6nnen, w\u00fcrden auch andere Hacker am Einsatz des Exploits arbeiten.<\/p>\n

Cortesi will weitere Details zum Angriff auf die SSL-Verschl\u00fcsselung von Mac und iPhone ver\u00f6ffentlichen<\/a>, sobald Apple aktiv geworden ist und nach iPhone, iPad<\/a> und Apple TV<\/a> auch alle aktuellen Macs mit einem Update versorgt hat. Sp\u00e4testens dann sollten sich auch die von Cortesi vorgenommenen \u00c4nderungen an der transparenten Proxy-Software Mitmproxy einsehen lassen. <\/p>\n

Die Tagesschau zum SSL-Bug<\/h2>\n