Apple behebt Sicherheitsproblem im iOS-App-Store

Ein Google-Forscher hatte herausgefunden, dass Apple aktive Inhalte für seinen Online-Laden teilweise ohne SSL-Verschlüsselung ausliefert. Darüber waren verschiedene Angriffe möglich.

In Pocket speichern vorlesen Druckansicht 32 Kommentare lesen
Lesezeit: 1 Min.

Apple hat ein schon länger bestehendes Sicherheitsproblem in seiner App-Store-Anwendung für iOS-Geräte (iPad, iPhone, iPod touch) behoben. Wie der Google-Forscher Elie Bursztein in seinem Blog schreibt, hatte er bereits im Juli 2012 Apple mitgeteilt, dass aktive Inhalte nicht standardmäßig per SSL (HTTPS) übertragen werden. So war es über verschiedene Man-in-the-Middle-Angriffe möglich, den Datenverkehr zwischen Apple und Nutzer zu manipulieren.

Als Beispiele nannte Bursztein unter anderem die Möglichkeit, falsche Apps auszuliefern oder gar Passwörter über einen gefälschten Prompt abzufangen. Außerdem war es möglich, Nutzern falsche Updates unterzuschieben und Installationen oder Updates zu verhindern. Ein weiteres Problem sei ein Datenschutzloch gewesen, über das es möglich war, die installierten Apps abzufragen.

Die Probleme wurden nun abgestellt: Apple ist dazu übergegangen, alle aktiven Inhalte innerhalb der App-Store-Anwendung zu verschlüsseln. Dazu heißt es in Apples offiziellen Web Server Notifications nur lapidar für "itunes.apple.com": "Active content is now served over HTTPS by default." Es ist unklar, warum Apple die seit dem vergangenen Juli bekannte Lücke erst jetzt geschlossen hat. Bursztein äußert sich in seinem Blog ausführlich zu den verschiedenen Angriffsszenarien, die nun nicht mehr möglich sein sollten. (bsc)