Apples iOS anfällig für neun Jahre alte SSL-Schwachstelle

Apple muss nur zehn Tage nach dem Erscheinen von 4.3.4 erneut nachbessern und einen Fehler bei der Validierung von SSL-Zertifikaten beheben. Ein Angreifer kann den verschlüsselten Datenverkehr mit einem manipulierten Zertifikat belauschen und modifizieren, da iOS 4.3.4 nicht überprüft, ob der Aussteller eines Zertifikats tatsächlich zur Ausstellung von Zertifikaten berechtigt ist, also das CA-Bit in den sogenannten Basic Contraints gesetzt ist. Jedermann kann mit einem gültigen Zertifikat also beliebige weitere Zertifikate, etwa für paypal.com oder die Domain der Hausbank, erstellen, die iOS dann klaglos als gültig anerkennt.

Neu ist dieses Problem nicht: Bereits vor neun Jahren waren Webkit-Browser und Programme auf Basis der Microsoft CryptoAPI (Internet Explorer, Outlook und Co.) aufgrund der unzureichenden Validierung durch Man-in-the-middle-Angriffe (MITM) verwundbar. Derartige Angriffe kann man etwa mit dem Tool sslsniff testen.

Entdeckt wurde die Schwachstelle von dem Sicherheitsexperten Gregor Kopf, dessen Firma Recurity Labs offenbar im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) Sicherheitsaspekte von iOS evaluiert. Als Mitentdecker gibt Apple den Experten Paul Kehrer von Trustwave an. Das Update auf die fehlerbereinigte iOS-Version 4.3.5 steht für iPhone 3GS, iPhone 4, iPod touch (ab dritte Generation) und das iPad zur Installation über iTunes bereit. (rei)