Fehlerhafte Netzwerkbibliothek macht iOS-Apps angreifbar

Durch einen Bug in der Bibliothek AFNetwork kann man die verschlüsselten Verbindungen zahlreicher Apps angreifen, die sie einsetzen. Eine Online-Datenbank verrät, welche Apps betroffen waren oder sind.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen
AFNetworking
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Ein Bug in der Software-Bibliothek AFNetworking hat dazu geführt, dass man den verschlüsselten Datenverkehr hunderter iOS-Apps aufbrechen konnte – und zum Teil immer noch kann. Die Bibliothek stellt Entwicklern von iOS- und OS-X-Apps diverse Netzwerkfunktionen bereit, etwa Datei-Downloads oder HTTP(S)-Anfragen. Bei der Nutzung von HTTPS überprüft sie, ob das eingesetzte Zertifikat von einem vertrauenswürdigen Herausgeber stammt, so zumindest der Plan.

Im Januar schlich sich eine fehlerhafte IF-Abfrage in den Quellcode ein, die dazu fĂĽhrt, dass die VertrauenswĂĽrdigkeit der Zertifikate nicht mehr ĂĽberprĂĽft wurde. Die Apps akzeptieren dadurch auch selbst ausgestellte Zertifikate, etwa von dem Web-Analyseproxy Burp. Ein Angreifer kann in der Position des Man-in-the-Middle so den Datenverkehr unbemerkt auf dem Transportweg entschlĂĽsseln, den Klartext lesen und die Pakete anschlieĂźend mit eigenem eigenen Zertifikat wieder verschlĂĽsseln.

Laut SourceDNA war unter anderem die OneDrive-App von Microsoft betroffen.

Auf Grundlage des fehlerbehafteten Quellcodes ist Mitte Februar die verwundbare Version 2.5.1 erschienen, Abhilfe schafft Version 2.5.2. Wer iOS-Apps entwickelt und die betroffene Bibliothek nutzt, sollte umgehend die aktuelle Version integrieren.

Die Analysefirma SourceDNA hat einen Tag, nachdem die abgesicherte Version erschienen ist, zahlreiche iOS-Apps untersucht und stieß dabei nach eigenen Angaben auf rund 1000, die für den Man-in-the-Middle Angriff anfällig waren.

Darunter befinden sich prominente Namen wie etwa Microsoft, Yahoo!, Citrix und Uber. Das Unternehmen hat seine Scan-Ergebnisse ins Netz gestellt und will diese kontinuierlich aktualisieren. Ăśber den Dienst SourceDNA App Security kann man ĂĽberprĂĽfen, welche Apps betroffen waren oder es immer noch sind. (rei)