zurück zum Artikel

Sicherheitsforscher: iTunes für Windows mit SSL-Lücke

Ben Schwan

Ende April hatte der iPhone-Hersteller eine Schwachstelle bei SSL-Verbindungen in iOS und OS X behoben. Doch der Fehler steckt angeblich nach wie vor in der Windows-Version von Apples Medienverwaltung.

Der niederländische Sicherheitsforscher Mark Loman hat laut eigenen Angaben eine Lücke in der Windows-Version von iTunes [1] entdeckt. Wie das örtliche IT-Portal Tweakers schreibt [2], handelt es sich dabei um einen Fehler bei der Überprüfung von SSL-Zertifikaten. So sei es möglich, einen Man-in-the-Middle-Angriff zu implentieren, über den dann etwa Passwörter beim Besuch des iTunes Stores abgefangen werden können. Gleiches gelte für die Aktivierung von iOS-Geräten über iTunes.

Offenbar handelt es sich bei dem Fehler um einen Bug in Apples SSL-Implementierung Secure Transport. Der sogenannte Triple Handshake-Angriff auf TLS [3] erlaubt es, mit gefälschten Zertifikaten zu arbeiten, ohne dass der Nutzer gewarnt wird. Diesen Bug hatte Apple in iOS 7.1.1 [4] sowie im Security-Update 2014-002 [5] für OS X behoben. Beide Updates erschienen bereits Ende April [6]. Es handelt sich nicht um den mittlerweile berühmt gewordenen "goto fail"-Fehler [7], sondern um einen weiteren Bug.

Datenverkehr zwischen iTunes unter Windows und einem manipulierten Server.

Datenverkehr zwischen iTunes unter Windows und einem manipulierten Server.

(Bild: Mark Loman / Tweakers [8] )

Apple hat laut Loman, der für den Sicherheitsdienstleister SurfRight arbeitet, offenbar versäumt, Secure Transport auch in der Windows-Version von iTunes abzudichten. Der Security-Forscher sah sich die Software näher an, nachdem niederländisch-marokkanische Hacker behauptet [9] hatten, ihnen sei über einen zwischengeschalteten Server gelungen, Apples Aktivierungssperre in iOS 7 auszuhebeln.

Allerdings schrieb einer der beteiligten Personen mittlerweile auf Twitter [10], bei dem Hack werde kein SSL-Bug ausgenutzt. Da es bislang keinerlei nähere Details gibt, lässt sich dies nicht nachprüfen. Loman zufolge soll Apple bereits über die Lücke in iTunes für Windows informiert sein. (bsc [11])

URL dieses Artikels:
https://www.heise.de/-2195484

Links in diesem Artikel:
[1] http://tweakers.net/nieuws/96092/wachtwoorden-itunes-gebruikers-blijken-relatief-eenvoudig-te-onderscheppen.html
[2] http://tweakers.net/nieuws/96092/wachtwoorden-itunes-gebruikers-blijken-relatief-eenvoudig-te-onderscheppen.html
[3] https://www.heise.de/news/Triple-Handshake-hebelt-TLS-aus-2132784.html
[4] http://support.apple.com/kb/HT6208
[5] http://support.apple.com/kb/HT6207
[6] https://www.heise.de/news/Apple-stopft-Sicherheitsluecken-in-iOS-OS-X-und-WLAN-Basisstationen-2174670.html
[7] https://www.heise.de/news/goto-fail-Apple-draengt-Nutzer-zum-Update-2150885.html
[8] http://tweakers.net/nieuws/96092/wachtwoorden-itunes-gebruikers-blijken-relatief-eenvoudig-te-onderscheppen.html
[9] https://www.heise.de/news/Hacker-wollen-Apples-iOS-Aktivierungssperre-geknackt-haben-2195353.html
[10] https://twitter.com/AquaXetine/status/469167388114423808
[11] mailto:bsc@heise.de

Copyright © 2014 Heise Medien