Apple behebt Sicherheitsproblem im iOS-App-Store
Ein Google-Forscher hatte herausgefunden, dass Apple aktive Inhalte für seinen Online-Laden teilweise ohne SSL-Verschlüsselung ausliefert. Darüber waren verschiedene Angriffe möglich.
Apple hat ein schon länger bestehendes Sicherheitsproblem in seiner App-Store-Anwendung für iOS-Geräte (iPad, iPhone, iPod touch) behoben. Wie der Google-Forscher Elie Bursztein in seinem Blog schreibt, hatte er bereits im Juli 2012 Apple mitgeteilt, dass aktive Inhalte nicht standardmäßig per SSL (HTTPS) übertragen werden. So war es über verschiedene Man-in-the-Middle-Angriffe möglich, den Datenverkehr zwischen Apple und Nutzer zu manipulieren.
Als Beispiele nannte Bursztein unter anderem die Möglichkeit, falsche Apps auszuliefern oder gar Passwörter über einen gefälschten Prompt abzufangen. Außerdem war es möglich, Nutzern falsche Updates unterzuschieben und Installationen oder Updates zu verhindern. Ein weiteres Problem sei ein Datenschutzloch gewesen, über das es möglich war, die installierten Apps abzufragen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Die Probleme wurden nun abgestellt: Apple ist dazu übergegangen, alle aktiven Inhalte innerhalb der App-Store-Anwendung zu verschlüsseln. Dazu heißt es in Apples offiziellen Web Server Notifications nur lapidar für "itunes.apple.com": "Active content is now served over HTTPS by default." Es ist unklar, warum Apple die seit dem vergangenen Juli bekannte Lücke erst jetzt geschlossen hat. Bursztein äußert sich in seinem Blog ausführlich zu den verschiedenen Angriffsszenarien, die nun nicht mehr möglich sein sollten. (bsc)
