Menü
Mac & i

Apple behebt Sicherheitsproblem im iOS-App-Store

vorlesen Drucken Kommentare lesen 32 Beiträge

Apple hat ein schon länger bestehendes Sicherheitsproblem in seiner App-Store-Anwendung für iOS-Geräte (iPad, iPhone, iPod touch) behoben. Wie der Google-Forscher Elie Bursztein in seinem Blog schreibt, hatte er bereits im Juli 2012 Apple mitgeteilt, dass aktive Inhalte nicht standardmäßig per SSL (HTTPS) übertragen werden. So war es über verschiedene Man-in-the-Middle-Angriffe möglich, den Datenverkehr zwischen Apple und Nutzer zu manipulieren.

Als Beispiele nannte Bursztein unter anderem die Möglichkeit, falsche Apps auszuliefern oder gar Passwörter über einen gefälschten Prompt abzufangen. Außerdem war es möglich, Nutzern falsche Updates unterzuschieben und Installationen oder Updates zu verhindern. Ein weiteres Problem sei ein Datenschutzloch gewesen, über das es möglich war, die installierten Apps abzufragen.

Einer der von Bursztein demonstrierten Angriffe (Video: Elie Bursztein).

Die Probleme wurden nun abgestellt: Apple ist dazu übergegangen, alle aktiven Inhalte innerhalb der App-Store-Anwendung zu verschlüsseln. Dazu heißt es in Apples offiziellen Web Server Notifications nur lapidar für "itunes.apple.com": "Active content is now served over HTTPS by default." Es ist unklar, warum Apple die seit dem vergangenen Juli bekannte Lücke erst jetzt geschlossen hat. Bursztein äußert sich in seinem Blog ausführlich zu den verschiedenen Angriffsszenarien, die nun nicht mehr möglich sein sollten. (bsc)