Mangelnde Verschlüsselung im App Store ermöglichte Passwortklau
Mangelnde Verschlüsselung im App Store ermöglichte Passwortklau (Bild: Elie Bursztein)

Sicherheitslücke Apple verschlüsselt App Store, um Passwortklau zu verhindern

Apple hat eine Sicherheitslücke in seinem App Store beseitigt, über die Google-Mitarbeiter Elie Bursztein das Unternehmen bereits im Juli 2012 informierte. Durch fehlende Verschlüsselung war es unter anderem möglich, Passwörter zu stehlen und Apps auf Kosten der Nutzer auf ihren Geräten zu installieren.

Anzeige

Mehr als ein halbes Jahr hat Apple benötigt, um seinen App Store per SSL zu sichern und so seine Nutzer besser vor Angreifern zu schützen. Schon im Juli 2012 hatte Elie Bursztein, der als Forscher bei Google arbeitet, Apple auf die mit der fehlenden Verschlüsselung einhergehenden Probleme hingewiesen.

Apples App Store ist zwar als native App umgesetzt, stellt aber vor allem Webinhalte dar. Diese werden weitgehend per SSL verschlüsselt, ein kleiner Teil der Kommunikation lief bisher aber unverschlüsselt ab. Angreifer im gleichen Netz, beispielsweise in einem offenen WLAN, konnten so den entsprechenden Netzwerkverkehr manipulieren.

Öffnet ein Nutzer beispielsweise den App Store, holt dieser vom Server eine Liste mit verfügbaren Updates. Ein Angreifer konnte die Antwort bislang so manipulieren, dass der App Store den Nutzer nach seinem Passwort fragt, was aus Nutzersicht kaum als Angriff zu erkennen ist. Das so ermittelte Passwort konnte sich der Angreifer dann über ein eingeschleustes Script zusenden lassen, wie Bursztein in einem Video demonstriert und in seinem Blog mit Beispielcode erläutert.

Auf ähnliche Art und Weise war es auch möglich, die Detailseiten von Apps zu manipulieren und so dafür zu sorgen, dass eine andere App gekauft und installiert wurde, als dem Nutzer vorgespielt wurde. Dabei könnte es sich um eine sehr teure App handeln, an der der Angreifer verdient. Auch die Installation einzelner Apps konnte so verhindert werden, solange sich Nutzer und Angreifer im gleichen Netz befanden. Auch der Update-Button ließ sich auf diesem Weg manipulieren und so bei einem vermeintlichen Update eine andere App installieren.

Bursztein hat die möglichen Angriffe jetzt detailliert veröffentlicht, nachdem Apple die Sicherheitslücke in der vergangenen Woche geschlossen hatte. Bursztein will nach eigenen Angaben Entwickler auf die Probleme hinweisen und sie ermutigen, konsequent auf SSL zu setzen.

Und Bursztein war offenbar nicht der Einzige, der Apple auf die Probleme hinwies: Neben Bursztein nennt Apple in diesem Zusammenhang auch Bernhard 'Bruhns' Brehm von Recurity Labs und Rahul Iyer von Bejoi.


Kommentieren




Anzeige

  1. Leitung der Abteilung Service und Anwendungen (m/w)
    Regionales Rechenzentrum der Universität Hamburg, Hamburg
  2. Softwareentwickler / Software Developer (m/w) .NET
    Omniga GmbH & Co. KG, Regensburg
  3. Leiter (m/w) Elektronik- / Embedded Software-Entwicklung
    invenio GmbH Engineering Services, Rüsselsheim, Mannheim, Karlsruhe oder Stuttgart
  4. Software-Entwickler .NET (m/w)
    SYSTECS Informationssysteme GmbH, Leinfelden-Echterdingen

 

Detailsuche


Top-Angebote
  1. TIPP: Crucial-SSDs heute bei Amazon im Blitzangebot
    (Crucial BX100 u. MX200 mit Kapazitäten von 120GB - 1.000GB)
  2. NEU: Schindlers Liste - 20th Anniversary Edition [Blu-ray] [Limited Edition]
    9,97€
  3. Titanfall Origin-Code
    9,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Zweites Hearthstone-Adventure

    Der Preis ist heiß - nicht!

  2. Freifunker

    "WLAN-Gesetzentwurf bewirkt Gegenteil von öffentlichem WLAN"

  3. Wiko

    Neue LTE-Smartphones sollen um die 300 Euro kosten

  4. Near Field Magnetic Induction Hands on

    Drahtlos-Ohrhörer noch drahtloser

  5. LG

    Neue Android-Smartphones kosten ab 100 Euro

  6. Browserhersteller

    Firefox und Chrome erzwingen HTTP/2-Verschlüsselung

  7. Powerspy

    Stalking über den Akkuverbrauch

  8. LTE + Super Vectoring

    Hybridrouter der Telekom soll künftig 550 MBit/s bringen

  9. Huawei Mediapad T1 7.0

    7-Zoll-Tablet mit UMTS-Modem kostet 130 Euro

  10. Steam Machines

    Von A wie Alienware bis Z wie Zotac



Haben wir etwas übersehen?

E-Mail an news@golem.de



BQ Aquaris E4.5 angesehen: Das erste Ubuntu-Smartphone macht Lust auf mehr
BQ Aquaris E4.5 angesehen
Das erste Ubuntu-Smartphone macht Lust auf mehr
  1. Aquaris E4.5 Canonical bringt das erste Ubuntu-Smartphone - schubweise

Test USB 3.1 mit Stecker Typ C: Die Alleskönner-Schnittstelle
Test USB 3.1 mit Stecker Typ C
Die Alleskönner-Schnittstelle
  1. Die Woche im Video Abenteurer, Adware und ein fixer Anschluss
  2. Mit Stecker Typ C Asrock stattet Intel-Mainboards mit USB-3.1-Karte aus
  3. USB 3.1 Richtig schnelle Mangelware

Leistungsschutzrecht: Wie die VG Media der Google-Konkurrenz das Leben schwermacht
Leistungsschutzrecht
Wie die VG Media der Google-Konkurrenz das Leben schwermacht
  1. Anhörung im Bundestag Leistungsschutzrecht findet Unterstützer
  2. Google-Chef Eric Schmidt sieht schon wieder das Ende des Internets
  3. Europäisches Leistungsschutzrecht Oettinger droht wieder mit der Google-Steuer

  1. Re: Das beste an dem Teil

    chriz.koch | 18:27

  2. Re: Warum sich Windows 7 ... // Falsche...

    u21 | 18:26

  3. Re: Lächerlich

    david_rieger | 18:26

  4. Re: Ansatz löblich, aber wer bezahlt mein Zertifikat?

    Proctrap | 18:26

  5. Re: Rechtssicherheit

    thecrew | 18:26


  1. 18:34

  2. 17:16

  3. 16:45

  4. 16:19

  5. 15:11

  6. 15:09

  7. 15:00

  8. 14:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel