Sicherheitsforscher: iTunes für Windows mit SSL-Lücke

Ende April hatte der iPhone-Hersteller eine Schwachstelle bei SSL-Verbindungen in iOS und OS X behoben. Doch der Fehler steckt angeblich nach wie vor in der Windows-Version von Apples Medienverwaltung.

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen
Lesezeit: 2 Min.

Der niederländische Sicherheitsforscher Mark Loman hat laut eigenen Angaben eine Lücke in der Windows-Version von iTunes entdeckt. Wie das örtliche IT-Portal Tweakers schreibt, handelt es sich dabei um einen Fehler bei der Überprüfung von SSL-Zertifikaten. So sei es möglich, einen Man-in-the-Middle-Angriff zu implentieren, über den dann etwa Passwörter beim Besuch des iTunes Stores abgefangen werden können. Gleiches gelte für die Aktivierung von iOS-Geräten über iTunes.

Offenbar handelt es sich bei dem Fehler um einen Bug in Apples SSL-Implementierung Secure Transport. Der sogenannte Triple Handshake-Angriff auf TLS erlaubt es, mit gefälschten Zertifikaten zu arbeiten, ohne dass der Nutzer gewarnt wird. Diesen Bug hatte Apple in iOS 7.1.1 sowie im Security-Update 2014-002 für OS X behoben. Beide Updates erschienen bereits Ende April. Es handelt sich nicht um den mittlerweile berühmt gewordenen "goto fail"-Fehler, sondern um einen weiteren Bug.

Datenverkehr zwischen iTunes unter Windows und einem manipulierten Server.

(Bild: Mark Loman / Tweakers )

Apple hat laut Loman, der für den Sicherheitsdienstleister SurfRight arbeitet, offenbar versäumt, Secure Transport auch in der Windows-Version von iTunes abzudichten. Der Security-Forscher sah sich die Software näher an, nachdem niederländisch-marokkanische Hacker behauptet hatten, ihnen sei über einen zwischengeschalteten Server gelungen, Apples Aktivierungssperre in iOS 7 auszuhebeln.

Allerdings schrieb einer der beteiligten Personen mittlerweile auf Twitter, bei dem Hack werde kein SSL-Bug ausgenutzt. Da es bislang keinerlei nähere Details gibt, lässt sich dies nicht nachprüfen. Loman zufolge soll Apple bereits über die Lücke in iTunes für Windows informiert sein. (bsc)