PayPal schließt kritische Lücke in iPhone-App

PayPal hat ein Update für seine iPhone-App auf den Weg gebracht, um Phishing-Angriffe zu verhindern. Einem Bericht des Wall Street Journal zufolge prüfen die verwundbaren Versionen der App das SSL-Zertifikat der PayPal-Seite nicht richtig beziehungsweise gar nicht. Die App für Android soll den Fehler nicht aufweisen. Aufgedeckt hatte die Lücke das Sicherheitsunternehmen viaForensics.

Durch die Schwachstelle ist es möglich, dass ein Angreifer eine Verbindung eines Opfers auf seinen Rechner umleitet und ihm ein nachgemachtes Zertifikat unterschiebt – ohne dass die App Alarm schlägt. In der Folge kann er die Login-Daten des Opfers im Klartext mitlesen. Neben derartigen Phishing-Angriffen können auch ausgefeiltere Man-in-the-Middle-Attacken die Schwachstelle nutzen. Moderne Browser warnen den Anwender üblicherweise bei fehlerhaften Zertifikaten. Die korrekte Auswertung von SSL-Zertifikaten ist ein fundamentales Element der sicheren Datenübertragung im Internet.

Allerdings funktioniert der Angriff auf die PayPal-App nur in öffentlichen (ungesicherten) WLANs – oder in WLANs, bei denen alle denselben Schüssel verwenden. Bislang soll es noch zu keinem Schadensfall gekommen sein. Andrew Hoog, Leiter der Analyseabteilung bei viaForensics sprach gegenüber dem Wall Street Journal von einem kolossalen Versehen von PayPal. Die App soll Berichten zufolge 4 Millionen Mal heruntergeladen worden sein. PayPal hat den Fehler am Dienstag behoben und die korrigierte Version zur Veröffentlichung im App Store eingereicht. (dab)