Schwere HTTPS-Schwachstelle in 1500 iOS-Apps entdeckt

MobileMobile Apps
verschlüsselung-schlüssel-encryption-shutterstock-Cousin_Avi (Bild: Shutterstock)

Die Lücke befindet sich in der Open-Source-Bibliothek AFNetworking. In der Version 2.5.1 umgeht sie die Überprüfung von SSL-Zertifikaten. Als Konsequenz davon kann ein Angreifer mittels eines gefälschten Zertifikats via HTTPS chiffrierten Datenverkehr entschlüsseln und daraufhin etwa Passwörter entwenden.

Das Analytics-Unternehmen SourceDNA hat eine Sicherheitslücke in der HTTPS-Implementierung von etwa 1500 iOS-Apps gefunden. Wie Ars Technica meldet, könnte ein Angreifer die Anfälligkeit ausnutzen, um die HTTPS-Verschlüsselung einer betroffenen App zu überlisten und Passwörter sowie andere persönliche Daten zu entwenden.

Über die Open-Source-Bibliothek AFNetworking gelangte eine HTTPS-Lücke in 1500 iOS-Apps (Bild: Shutterstock)

Der Fehler befindet sich in einer AFNetworking genannten Open-Source-Bibliothek, die zahlreiche iOS-Applikationen für Netzwerkfunktionen verwenden. Die im Januar 2015 veröffentlichte Version 2.5.1 umgehe die Überprüfung von SSL-Zertifikaten, was wiederum den Einsatz gefälschter Zertifikate und damit die Entschlüsselung des Datenverkehrs ermögliche. Die Lücke könne etwa von Personen im selben WLAN-Netz ausgenutzt werden.

Laut dem Bericht liegt seit drei Wochen die fehlerkorrigierte Version 2.5.2 der AFNetworking-Bibliothek vor. Viele iOS-Apps setzen aber noch immer auf die anfällige Version 2.5.1. Darunter finden sich Anwendungen wie Alibaba, Movies by Flixster und Citrix OpenVoice Audio Conferencing.

SourceDNA hat eigenen Angaben zufolge eine Million der rund 1,4 Millionen Apps in Apples App Store untersucht. Darunter seien alle kostenlosen Anwendungen, jedoch nur die populärsten 5000 kostenpflichtigen Apps enthalten gewesen. Das Unternehmen schließt daher nicht aus, dass mehr als 1500 Apps betroffen sind.

Die fraglichen Apps unterstützen überdies kein Certificate Pinning, womit Anwendungen vorgeschrieben wird, nur ein bestimmtes Zertifikat einzusetzen. Die zugehörige Funktion ist in AFNetworking zwar enthalten, jedoch standardmäßig ausgeschaltet.

Vor der Veröffentlichung seines Berichts habe SourceDNA die Entwickler der betroffenen Apps kontaktiert, um ihnen die Möglichkeit zu geben, die Sicherheitslücke zu schließen. Apps von Unternehmen wie Microsoft, Uber und Yahoo, die das Leck bereits gestopft haben, seien in der genannten Zahl von 1500 anfälligen Anwendungen nicht enthalten. Gleiches gelte auch für Apps, die zwar AFNetworking nutzen, jedoch auf HTTPS verzichten. iOS-Anwender können mithilfe eines von SourceDNA entwickelten Suchwerkzeugs prüfen, ob die von ihnen eingesetzten Apps betroffen sind.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen