iphone-ticker.de — Alles zum iPhone. Seit 2007. 30 060 Artikel
   

Im Live-Einsatz: So gravierend war bzw. ist Apples SSL-Schwachstelle

48 Kommentare 48

Nur wenige Tage nach der fehlerbehebenden iOS-Aktualisierung auf Version 7.0.6 hat der Sicherheits-Experte Aldo Cortesi Apples SSL-Schwachstelle jetzt auf ihren effektiven Nutzen für Nachrichtendienste untersucht und beschreibt seine Analyse des seit rund zwei Jahren bestehenden System-Fehlers in diesem jetzt veröffentlichten Blog-Eintrag.

bug

Cortesi, der die Proxy-Software Mitmproxy für seine Versuche so angepasst hat, dass diese den unverschlüsselt zum iPhone übertragenen Datenverkehr mitlesen kann, zeigt sich überrascht von seinen Ergebnissen und bestätigt die bislang nur theoretisch beschriebenen Ausmaße der Sicherheitslücke.

So gestattet Apples SSL/TLS-Bug allen Angreifern im gleichen Netzwerk, den gesamten Datenverkehr zu vermeintlichen sicheren Seiten mitzulesen. Dies gelte auch für eingegebene Passwörter, Bankdaten, iCloud-Informationen und Software-Aktualisierungen:

Cortesi schreibt:

Nearly all encrypted traffic, including usernames, passwords, and even Apple app updates can be captured. This includes: App store and software update traffic, iCloud data, including KeyChain enrollment and updates, Data from the Calendar and Reminders, Find My Mac updates, Traffic for applications that use certificate pinning, like Twitter.

Ein OS X-Update, mit dem Apple die Lücke auch auf dem Desktop behebt, lässt aktuell noch immer auf sich warten. Cortesi mahnt ein schleuniges Handeln an. Wenn er nur rund 24 Stunden investiert habe, um die Schwachstelle auch im Live-Einsatz ausnutzen zu können, würden auch andere Hacker am Einsatz des Exploits arbeiten.

Cortesi will weitere Details zum Angriff auf die SSL-Verschlüsselung von Mac und iPhone veröffentlichen, sobald Apple aktiv geworden ist und nach iPhone, iPad und Apple TV auch alle aktuellen Macs mit einem Update versorgt hat. Spätestens dann sollten sich auch die von Cortesi vorgenommenen Änderungen an der transparenten Proxy-Software Mitmproxy einsehen lassen.

Die Tagesschau zum SSL-Bug

(Direkt-Link)

Zum Nachlesen:

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
25. Feb 2014 um 17:05 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    48 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    48 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 30060 Artikel in den vergangenen 5042 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2021 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven