Über 1500 iOS-Apps von HTTPS-Bug betroffen

Iro Käse, den 21. April 2015

Apple wirbt immer wieder damit, dass iOS eine sehr sichere Plattform und damit auch für den Einsatz in Unternehmen geeignet sei, ein neuer Bericht von Ars Technica offenbart jedoch eine Sicherheitslücke, von der aktuell über 1500 Apps betroffen sind.

iOS ist, vor allem wegen der geschlossenen Umgebung, in der Programme ausgeführt werden, relativ sicher und deshalb nur sehr selten von gravierenden Sicherheitslücken betroffen. Ars Technica veröffentlicht heute einen Bericht, der zwar die generelle Sicherheit von Apples mobilem System nicht in Frage stellt, dennoch aber einen Angriffspunkt für eine sogenannte „Man in the middle“-Attacke auf den verschlüsselten Netzwerkverkehr in vielen iOS-Apps aufzeigt. Der Fehler wurde von SourceDNA veröffentlicht, die auch eine Suchmaschine für betroffene Apps anbieten.

Das Problem, so Ars Technica, liegt in der Open-Source-Bibliothek AFNetworking, die vielen Entwickler für Netzwerkanfragen in ihrer App verwenden. Im Januar wurde Version 2.5.1 veröffentlicht, die den Bug beinhaltet. Laut eines Blogposts von Minded Security kann durch diese Lücke der gesamte verschlüsselte Netzwerkverkehr einer iOS-App unverschlüsselt mitgelesen werden. AFNetworking liegt seit drei Wochen in Version 2.5.2 vor, die den entdeckten Fehler behebt, dennoch ist die alte Version noch in vielen iOS-Anwendungen im Einsatz. Der Grund für die Unsicherheit liegt in diesem Fall nicht bei Apple, sondern bei Entwicklern, die die veraltete Bibliotheken verwenden, dennoch bietet sie einen Angriffspunkt, der in einigen Apps einen großen Schaden anrichten kann. SourceDNA hat einen Großteil der kostenlosen Apps im App Store untersucht und dabei über 1500 angreifbare Anwendungen gefunden.


Ähnliche Nachrichten