Sicherheitsforscher: Hunderte iOS-Apps von Freak-Attack-Lücke betroffen

Immerhin 771 von knapp 14.000 Topprogrammen im App Store waren für den Verschlüsselungsfehler anfällig. Einige davon sind es aufgrund einer fehlerhaften OpenSSL-Version auch jetzt noch.

In Pocket speichern vorlesen Druckansicht
iOS

(Bild: dpa, Christoph Dernbach)

Lesezeit: 1 Min.

Die IT-Security-Firma FireEye hat davor gewarnt, dass Hunderte bekannte iOS-Apps für die sogenannte Freak-Attack-Lücke anfällig waren. Über diese ist es im Zusammenhang mit schlecht konfigurierten Servern möglich, die SSL-Verschlüsselung zu brechen, mit der viele Apps ihren Datenverkehr schützen.

Apple hatte den Fehler mit iOS 8.2 betriebssystemseitig in der vergangenen Woche behoben. Wie FireEye nun demonstrierte, heißt das aber nicht unbedingt, dass alle Apps automatisch geschützt sind. Je nach Programmierung müssen die Entwickler selbst tätig werden, um den Bug zu fixen.

Von 14.079 beliebten iOS-Apps fand das Sicherheitsunternehmen das Problem in immerhin 771 Programmen. Diese nutzten eine Verbindung zu einem angreifbaren HTTPS-Server. Eine kleine Anzahl dieser Apps, immerhin sieben Stück, verwenden eine eigene (und fehlerhafte) OpenSSL-Version für die Verschlüsselung, was sie auch nach einem Update auf iOS 8.2 verletzlich macht.

Das Freak-Attack-Problem betrifft auch Android-Software. FireEye zählte hier von knapp 11.000 Google-Play-Apps, die über eine Million Mal heruntergeladen wurden, insgesamt 1228 angreifbare Programme. Je knapp zur Hälfte nutzten diese die in Android mitgelieferte OpenSSL-Version sowie eine eigens kompilierte Variante. Beide seien nach wie vor anfällig. (bsc)