Abo
  • Services:
Anzeige
Mangelnde Verschlüsselung im App Store ermöglichte Passwortklau
Mangelnde Verschlüsselung im App Store ermöglichte Passwortklau (Bild: Elie Bursztein)

Sicherheitslücke: Apple verschlüsselt App Store, um Passwortklau zu verhindern

Apple hat eine Sicherheitslücke in seinem App Store beseitigt, über die Google-Mitarbeiter Elie Bursztein das Unternehmen bereits im Juli 2012 informierte. Durch fehlende Verschlüsselung war es unter anderem möglich, Passwörter zu stehlen und Apps auf Kosten der Nutzer auf ihren Geräten zu installieren.

Mehr als ein halbes Jahr hat Apple benötigt, um seinen App Store per SSL zu sichern und so seine Nutzer besser vor Angreifern zu schützen. Schon im Juli 2012 hatte Elie Bursztein, der als Forscher bei Google arbeitet, Apple auf die mit der fehlenden Verschlüsselung einhergehenden Probleme hingewiesen.

Anzeige

Apples App Store ist zwar als native App umgesetzt, stellt aber vor allem Webinhalte dar. Diese werden weitgehend per SSL verschlüsselt, ein kleiner Teil der Kommunikation lief bisher aber unverschlüsselt ab. Angreifer im gleichen Netz, beispielsweise in einem offenen WLAN, konnten so den entsprechenden Netzwerkverkehr manipulieren.

Öffnet ein Nutzer beispielsweise den App Store, holt dieser vom Server eine Liste mit verfügbaren Updates. Ein Angreifer konnte die Antwort bislang so manipulieren, dass der App Store den Nutzer nach seinem Passwort fragt, was aus Nutzersicht kaum als Angriff zu erkennen ist. Das so ermittelte Passwort konnte sich der Angreifer dann über ein eingeschleustes Script zusenden lassen, wie Bursztein in einem Video demonstriert und in seinem Blog mit Beispielcode erläutert.

Auf ähnliche Art und Weise war es auch möglich, die Detailseiten von Apps zu manipulieren und so dafür zu sorgen, dass eine andere App gekauft und installiert wurde, als dem Nutzer vorgespielt wurde. Dabei könnte es sich um eine sehr teure App handeln, an der der Angreifer verdient. Auch die Installation einzelner Apps konnte so verhindert werden, solange sich Nutzer und Angreifer im gleichen Netz befanden. Auch der Update-Button ließ sich auf diesem Weg manipulieren und so bei einem vermeintlichen Update eine andere App installieren.

Bursztein hat die möglichen Angriffe jetzt detailliert veröffentlicht, nachdem Apple die Sicherheitslücke in der vergangenen Woche geschlossen hatte. Bursztein will nach eigenen Angaben Entwickler auf die Probleme hinweisen und sie ermutigen, konsequent auf SSL zu setzen.

Und Bursztein war offenbar nicht der Einzige, der Apple auf die Probleme hinwies: Neben Bursztein nennt Apple in diesem Zusammenhang auch Bernhard 'Bruhns' Brehm von Recurity Labs und Rahul Iyer von Bejoi.


eye home zur Startseite


Die Erklärung / 11. Mär 2013



Anzeige

Stellenmarkt
  1. matrix technology AG, München
  2. DRÄXLMAIER Group, Garching bei München
  3. MT AG, Ratingen
  4. DRÄXLMAIER Group, Garching


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 38,99€
  3. (-15%) 42,49€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Stadtnetz

    Straßenbeleuchtung als Wifi-Standort problematisch

  2. Netzsperren

    UK-Regierung könnte Pornozensur willkürlich beschließen

  3. Kartendienst

    Google Maps soll künftig Parksituation anzeigen

  4. PowerVR Series 8XE Plus

    Imgtechs Smartphone-GPUs erhalten ein Leistungsplus

  5. Projekt Quantum

    GPU-Prozess kann Firefox schneller und sicherer machen

  6. TV-Kabelnetz

    Tele Columbus will höhere Datenrate und mobile Conversion

  7. Fingerprinting

    Nutzer lassen sich über Browser hinweg tracken

  8. Raumfahrt

    Chinas erster Raumfrachter Tianzhou 1 ist fertig

  9. Bezahlinhalte

    Bild fordert Obergrenze für Focus Online

  10. Free-to-Play

    Forum von Clash-of-Clans-Betreiber gehackt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

  1. welt und bild sind...

    Rulf | 22:12

  2. Was fuer eine Verschwendung von Resourcen

    hle.ogr | 22:11

  3. Re: warum?

    User_x | 22:10

  4. Re: nicht eher O2?

    My1 | 22:09

  5. Re: Einige weitere Informationen

    divStar | 21:59


  1. 19:05

  2. 17:57

  3. 17:33

  4. 17:00

  5. 16:57

  6. 16:49

  7. 16:48

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel