Anzeige
Mangelnde Verschlüsselung im App Store ermöglichte Passwortklau
Mangelnde Verschlüsselung im App Store ermöglichte Passwortklau (Bild: Elie Bursztein)

Sicherheitslücke: Apple verschlüsselt App Store, um Passwortklau zu verhindern

Mangelnde Verschlüsselung im App Store ermöglichte Passwortklau
Mangelnde Verschlüsselung im App Store ermöglichte Passwortklau (Bild: Elie Bursztein)

Apple hat eine Sicherheitslücke in seinem App Store beseitigt, über die Google-Mitarbeiter Elie Bursztein das Unternehmen bereits im Juli 2012 informierte. Durch fehlende Verschlüsselung war es unter anderem möglich, Passwörter zu stehlen und Apps auf Kosten der Nutzer auf ihren Geräten zu installieren.

Anzeige

Mehr als ein halbes Jahr hat Apple benötigt, um seinen App Store per SSL zu sichern und so seine Nutzer besser vor Angreifern zu schützen. Schon im Juli 2012 hatte Elie Bursztein, der als Forscher bei Google arbeitet, Apple auf die mit der fehlenden Verschlüsselung einhergehenden Probleme hingewiesen.

Apples App Store ist zwar als native App umgesetzt, stellt aber vor allem Webinhalte dar. Diese werden weitgehend per SSL verschlüsselt, ein kleiner Teil der Kommunikation lief bisher aber unverschlüsselt ab. Angreifer im gleichen Netz, beispielsweise in einem offenen WLAN, konnten so den entsprechenden Netzwerkverkehr manipulieren.

Öffnet ein Nutzer beispielsweise den App Store, holt dieser vom Server eine Liste mit verfügbaren Updates. Ein Angreifer konnte die Antwort bislang so manipulieren, dass der App Store den Nutzer nach seinem Passwort fragt, was aus Nutzersicht kaum als Angriff zu erkennen ist. Das so ermittelte Passwort konnte sich der Angreifer dann über ein eingeschleustes Script zusenden lassen, wie Bursztein in einem Video demonstriert und in seinem Blog mit Beispielcode erläutert.

Auf ähnliche Art und Weise war es auch möglich, die Detailseiten von Apps zu manipulieren und so dafür zu sorgen, dass eine andere App gekauft und installiert wurde, als dem Nutzer vorgespielt wurde. Dabei könnte es sich um eine sehr teure App handeln, an der der Angreifer verdient. Auch die Installation einzelner Apps konnte so verhindert werden, solange sich Nutzer und Angreifer im gleichen Netz befanden. Auch der Update-Button ließ sich auf diesem Weg manipulieren und so bei einem vermeintlichen Update eine andere App installieren.

Bursztein hat die möglichen Angriffe jetzt detailliert veröffentlicht, nachdem Apple die Sicherheitslücke in der vergangenen Woche geschlossen hatte. Bursztein will nach eigenen Angaben Entwickler auf die Probleme hinweisen und sie ermutigen, konsequent auf SSL zu setzen.

Und Bursztein war offenbar nicht der Einzige, der Apple auf die Probleme hinwies: Neben Bursztein nennt Apple in diesem Zusammenhang auch Bernhard 'Bruhns' Brehm von Recurity Labs und Rahul Iyer von Bejoi.


eye home zur Startseite

Kommentieren


Die Erklärung / 11. Mär 2013



Anzeige

  1. Head of Software Development / Leiter Softwareentwicklung (m/w)
    Hella Gutmann Solutions GmbH, Ihringen
  2. ERP-Betreuer (m/w)
    Schafferer & Co. KG, Freiburg im Breisgau
  3. (Junior) Web- / Mobile-Entwickler (m/w)
    DuMont Personal Management GmbH, Köln
  4. Project Director (m/w) Serialization Pharmaceuticals EMEA
    Fresenius Medical Care Deutschland GmbH, Bad Homburg

Detailsuche



Anzeige

Folgen Sie uns
       


  1. USA

    Furcht vor Popcorn Time auf Set-Top-Boxen

  2. Unplugged

    Youtube will Fernsehprogramm anbieten

  3. Festnetz

    Telekom-Chef verspricht 500 MBit/s im Kupfernetz

  4. Uncharted 4 im Test

    Meisterdieb in Meisterwerk

  5. Konkurrenz für Bandtechnik

    EMC will Festplatten abschalten

  6. Mobilfunk

    Telekom will bei eSIM keinen Netzwechsel zulassen

  7. Gründung von Algorithm Watch

    Achtgeben auf Algorithmen

  8. Mobilfunk

    Störung zwischen E-Plus-Netz und Telekom

  9. Bug-Bounty-Programm

    Facebooks jüngster Hacker

  10. Taxidienst

    Mytaxi-Bestellungen jetzt per Whatsapp möglich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Kaspersky-Analyse Fast jeder Geldautomat lässt sich kapern
  2. Alphabay Darknet-Marktplatz leakt Privatnachrichten durch eigene API
  3. Verteidigungsministerium Ursula von der Leyen will 13.500 Cyber-Soldaten einstellen

Mitmachprojekt: Wie warm ist es in euren Büros?
Mitmachprojekt
Wie warm ist es in euren Büros?
  1. Mitmachprojekt Temperatur messen und versenden mit dem ESP8266
  2. Mitmachprojekt Temperatur messen und senden mit dem Particle Photon
  3. Mitmachprojekt Temperatur messen und senden mit dem Arduino

LizardFS: Software-defined Storage, wie es sein soll
LizardFS
Software-defined Storage, wie es sein soll
  1. Imagetragick-Bug Sicherheitslücke in Imagemagick bedroht viele Server
  2. Peter Sunde Flattr kooperiert für Bezahlmodell mit Adblock Plus
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

  1. Re: Richtige Vorgehensweise

    DrWatson | 21:47

  2. Re: Gute Ideen für die Nutzung von 1Gbit?

    Neuro-Chef | 21:42

  3. Re: Und noch ein 30 fps Blockbuster...:(

    sofries | 21:37

  4. Re: 20 Dollar Miete pro Monat?

    crazypsycho | 21:35

  5. Re: Die Filmindustrie will es nicht verstehen.

    crazypsycho | 21:31


  1. 13:08

  2. 11:31

  3. 09:32

  4. 09:01

  5. 19:01

  6. 16:52

  7. 16:07

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel