SSL-Bug macht tausende iOS-Apps angreifbar

MobileMobile Apps
Schlüssel Smartphone (Bild: Shutterstock / wk1003mike)

Sicherheitsforscher haben vor iOS-Apps gewarnt, die Personen im selben Netzwerk erlauben, eigentlich verschlüsselte Daten mitzulesen. Grund dafür ist eine veraltete Version der von ihnen genutzten Netzwerkbibliothek AFNetworking. Die war erst vor kurzem schon einmal unangenehm aufgefallen.

Ein Fehler in der freien Netzwerkbibliothek AFNetworking erlaubt Angreifern im selben Netzwerk Daten mitzulesen, die eigentlich verschlüsselt übertragen werden sollten. Experten von SourceDNA raten Entwicklern dringend, ihre Anwendungen umgehehend auf AFNetworking 2.5.3 zu aktualisieren. Der von den Sicherheitsexperten gefundene Fehler steckt im Secure-Sockets-Layer-Code (SSL) der Bibliothek. Anwendungsentwickler greifen auf sie häufig für Netzwerkfunktionen ihrer iOS-Programme zurück.

In den vergangenen sechs Wochen wurde das Framework dreimal aktualisiert. Ziel war es jedes Mal, SSL-Lücken zu schließen, durch die darauf aufsetzende Apps für Man-in-the-middle-Angriffe anfällig wurden. Version 2.5.3 von AFNetworking behebt eine Schwachstelle im Domainnamen-Validierungsprozess der Bibliothek.

Nach Schätzungen der Analytics-Firma SourceDNA, die den wiederkehrenden Fehler gefunden hatte, sind allerdings weiterhin mindestens 25.000 iOS-Apps anfällig, weil sie eine veraltete Ausgabe der Library nutzen. “Wenn Sie AFNetworking verwenden (jegliche Version), müssen Sie auf 2.5.3 aktualisieren. Außerdem sollten Sie Public Key oder zertifikatsbasiertes Pinning als zusätzliche Schutzmaßnahme aktivieren. Keiner dieser Game-over-SSL-Bugs betraf Anwendungen, die Pinning nutzten”, erklärt das Unternehmen.

Zur Schwachstelle führt SourceDNA aus: “Die Domainnamen-Validierung kann durch den Flag validatesDomainName aktiviert werden, ist aber standardmäßig ausgeschaltet. Es wurde nur aktiviert, wenn Zertifikat-Pinning eingeschaltet wurde, wovon aber zu wenige Entwickler Gebrauch machen.”

Für Nutzer bedeutet das, dass Unbefugte etwa im selben WLAN-Netz ihre Daten relativ einfach beim Versand abfangen könenn. “Weil der Domainname nicht geprüft wurde, war alles, was sie dafür brauchten, ein gültiges SSL-Zertifikat für irgendeinen Web-Server, das man für 50 Dollar kaufen kann”, so SourceDNA.

Der Bug scheint sich in Version 2.5.2 von AFNetworking wieder eingeschlichen zu haben, nachdem er mit einer Vorversion beseitigt wurde. Version 2.5.2 korrigierte bereits eine gravierende HTTPS-Lücke. Sie betraf rund 1500 iOS-Apps. Dem Update von AFNetworking auf GitHub von letzter Woche zufolge sieht die Standard-Sicherheitsrichtlinie der Bibliothek nun die Validierung des Domainnamens vor.

Mithilfe eines von SourceDNA entwickelten Tools können iOS-Nutzer prüfen, ob von ihnen verwendete Apps anfällig sind. Dazu müssen sie lediglich den Namen des Entwicklers eingeben.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen