iTunes-Sicherheitslücke war mehr als drei Jahren offen

Eine Schwachstelle in der Updatefunktion von iTunes, die der iPhone-Hersteller mit der seit Mitte November 2011 verfügbaren Version 10.5.1 beseitigte, war drei Jahre lang bekannt. Der Sicherheitsforscher Francisco Amato hat Apple schon im Sommer 2008 darauf aufmerksam gemacht. Dies berichtet der Sicherheitsexperte Brian Krebs, dem der E-Mail-Wechsel zwischen Amato und Apples Sicherheitsabteilung vorliegt.

Bis zur iTunes-Version 10.5 erfolgte das integrierte Update unverschlüsselt über eine HTTP-Anfrage. Dies ermöglichte einem Angreifer mit Kontrolle über das Netzwerk des Nutzers, eigene Software als legitim erscheinendes iTunes-Update auszugeben. Entschied sich ein Nutzer zur Installation der vermeintlich von Apple stammenden Software, leitete ihn iTunes zum Download in den Standardbrowser weiter (solange die Apple-Softwareaktualisierung auf dem Rechner nicht installiert ist). Der Hersteller von "FinFisher" bewarb die Lücke als Weg zur Installation seiner Schnüffelsoftware auf einem Zielsystem.

Warum Apple das Problem seit über 1200 Tagen nicht beseitigt hat, bleibt unklar. Eine Stellungnahme des Unternehmens liegt nicht vor. Apple müsse die Lücke entweder vergessen oder am Ende der Aufgabenliste einsortiert haben, glaubt Amato, der diese nur in der Windows-Version von iTunes ausnutzen konnte. Unter Mac OS X wird das Ergebnis der Updateanfrage nicht im Browser des Nutzers geöffnet, da die Softwareaktualisierung in das System integriert ist. iTunes 10.5.1 ist laut Apple auf dem Mac "noch gründlicher abgesichert". (lbe)