Mangelnde Verschlüsselung im App Store ermöglichte Passwortklau
Mangelnde Verschlüsselung im App Store ermöglichte Passwortklau (Bild: Elie Bursztein)

Sicherheitslücke Apple verschlüsselt App Store, um Passwortklau zu verhindern

Apple hat eine Sicherheitslücke in seinem App Store beseitigt, über die Google-Mitarbeiter Elie Bursztein das Unternehmen bereits im Juli 2012 informierte. Durch fehlende Verschlüsselung war es unter anderem möglich, Passwörter zu stehlen und Apps auf Kosten der Nutzer auf ihren Geräten zu installieren.

Anzeige

Mehr als ein halbes Jahr hat Apple benötigt, um seinen App Store per SSL zu sichern und so seine Nutzer besser vor Angreifern zu schützen. Schon im Juli 2012 hatte Elie Bursztein, der als Forscher bei Google arbeitet, Apple auf die mit der fehlenden Verschlüsselung einhergehenden Probleme hingewiesen.

Apples App Store ist zwar als native App umgesetzt, stellt aber vor allem Webinhalte dar. Diese werden weitgehend per SSL verschlüsselt, ein kleiner Teil der Kommunikation lief bisher aber unverschlüsselt ab. Angreifer im gleichen Netz, beispielsweise in einem offenen WLAN, konnten so den entsprechenden Netzwerkverkehr manipulieren.

Öffnet ein Nutzer beispielsweise den App Store, holt dieser vom Server eine Liste mit verfügbaren Updates. Ein Angreifer konnte die Antwort bislang so manipulieren, dass der App Store den Nutzer nach seinem Passwort fragt, was aus Nutzersicht kaum als Angriff zu erkennen ist. Das so ermittelte Passwort konnte sich der Angreifer dann über ein eingeschleustes Script zusenden lassen, wie Bursztein in einem Video demonstriert und in seinem Blog mit Beispielcode erläutert.

Auf ähnliche Art und Weise war es auch möglich, die Detailseiten von Apps zu manipulieren und so dafür zu sorgen, dass eine andere App gekauft und installiert wurde, als dem Nutzer vorgespielt wurde. Dabei könnte es sich um eine sehr teure App handeln, an der der Angreifer verdient. Auch die Installation einzelner Apps konnte so verhindert werden, solange sich Nutzer und Angreifer im gleichen Netz befanden. Auch der Update-Button ließ sich auf diesem Weg manipulieren und so bei einem vermeintlichen Update eine andere App installieren.

Bursztein hat die möglichen Angriffe jetzt detailliert veröffentlicht, nachdem Apple die Sicherheitslücke in der vergangenen Woche geschlossen hatte. Bursztein will nach eigenen Angaben Entwickler auf die Probleme hinweisen und sie ermutigen, konsequent auf SSL zu setzen.

Und Bursztein war offenbar nicht der Einzige, der Apple auf die Probleme hinwies: Neben Bursztein nennt Apple in diesem Zusammenhang auch Bernhard 'Bruhns' Brehm von Recurity Labs und Rahul Iyer von Bejoi.


Kommentieren




Anzeige

  1. Webentwickler/in
    ALPLA Werke Alwin Lehner GmbH & Co KG, Hard (Österreich)
  2. Testmanager (m/w)
    PSI AG, Aschaffenburg
  3. Software Engineer (m/w) - Schwerpunkt "Responsive Web Development"
    HOTEL DE AG, Nürnberg
  4. Senior Consultant (m/w)
    CONJECT AG, Dresden, München

 

Detailsuche


Top-Angebote
  1. BIS 2. AUGUST GÜNSTIGER: Der neue Kindle Paperwhite, 15 cm (6 Zoll)
    99,00€ statt 119,99€
  2. BIS 2. AUGUST GÜNSTIGER: Kindle, 15,2 cm (6 Zoll)
    45,00€ statt 59,99€
  3. NEU: The Witcher 3: Wild Hunt - PlayStation 4
    39,00€

 

Weitere Angebote


Folgen Sie uns
       


  1. DDR4-4000

    Gskills neuer Arbeitsspeicher taktet mit 2 GHz

  2. Yager

    Dead-Island-2-Projektgesellschaft ist insolvent

  3. Nokia

    Ozo nimmt 360-Grad-Videos in Echtzeit auf

  4. Nintendo

    Wii U schafft die 10-Millionen-Marke

  5. Allison Road

    Das geistige Erbe von Silent Hill entwickelt ein Deutscher

  6. Windows 10

    Verteilung des Gratis-Upgrades erzwingen

  7. Actionspiel

    EA kündigt Titanfall Online an

  8. Windows 10 im Test

    Unfertiger, aber guter Windows-8.1-Bugfix

  9. 2 Petawatt

    Japaner nehmen Superlaser in Betrieb

  10. Kritischer Softwarefehler

    RyuJIT verändert willkürlich Parameter



Haben wir etwas übersehen?

E-Mail an news@golem.de



SIOD: Wenn die Anzeige auch in der Zeitung blinkt
SIOD
Wenn die Anzeige auch in der Zeitung blinkt
  1. Panasonic FZ300 Superzoom-Kamera arbeitet mit f/2,8-Objektiv und 4K-Auflösung
  2. Panasonic Lumix GX8 Systemkamera ermöglicht Scharfstellung nach der Aufnahme
  3. Pebble Time im Test Nicht besonders smart, aber watch

New Horizons: Pluto wird immer faszinierender
New Horizons
Pluto wird immer faszinierender
  1. Die Woche im Video Trauer, Tests und Windows 10
  2. New Horizons Gruß aus den Pluto-Bergen
  3. Raumfahrt New Horizons wirft einen kurzen Blick auf den Pluto

In eigener Sache: Preisvergleich bei Golem.de
In eigener Sache
Preisvergleich bei Golem.de
  1. In eigener Sache News von Golem.de bei Xing lesen
  2. In eigener Sache Golem.de erweitert sein Abo um eine Schnupper-Version

  1. Re: Dann will ich mal dein Erklärbär sein :D

    BRDiger | 17:53

  2. Re: akkus?

    DerGoldeneReiter | 17:53

  3. Re: Office 2010 / 2007 nicht mehr kompatibel?

    plutoniumsulfat | 17:53

  4. Re: Grundregel Nr. 1

    gdh | 17:51

  5. Re: NX ist aber auch noch in der Schwebe.

    mnementh | 17:49


  1. 17:18

  2. 16:58

  3. 16:04

  4. 15:47

  5. 15:15

  6. 13:05

  7. 12:47

  8. 12:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel