iOS und OS X: BSI warnt vor Apples SSL-Lücke

Über seinen Bürgerservice informiert das Bundesamt für Sicherheit in der Informationstechnik über die gravierenden Lücken in Apples Betriebssystemen. Patches für iOS 6 und 7 und das Apple TV gibt es, ein Update für OS X steht aber immer noch aus.

Artikel veröffentlicht am ,
Sicherheitslücke bei iOS 6 und 7 geschlossen
Sicherheitslücke bei iOS 6 und 7 geschlossen (Bild: Andreas Donath/Golem.de)

Das BSI hat eine Warnung vor der SSL-Lücke in iOS und OS X veröffentlicht. Dies geschah jedoch nicht über die Hauptwebseite der Behörde selbst, sondern über das Bürger-CERT. Mit diesem seit 2006 bestehenden Dienst will das Bundesamt für Sicherheit in der Informationstechnik Verbraucher mit allgemeinverständlichen Texten vor Sicherheitsproblemen warnen.

Folglich fällt der Hinweis auch recht knapp aus und erklärt nicht, wie schwerwiegend die Lücke in Wirklichkeit ist. Durch den Fehler, der in allen bisher aktuellen Versionen der Apple-Software steckt, werden vermeintlich sichere Verbindungen per SSL ausgehebelt. Auch wenn beispielsweise unter OS X mit Safari eine Webseite mit "https" am Anfang der Adresse angesteuert wird, handelt es sich nicht um eine lückenlose Verschlüsselung. Bei der Überprüfung der dafür nötigen Zertifikate lassen die Apple-Betriebssysteme einen entscheidenden Schritt aus, so dass auch Zertifikate akzeptiert werden, die nicht vom angesteuerten Server stammen.

Testseite und Beispielcode im Netz

Dadurch ist es unter anderem möglich, durch Man-in-the-Middle-Attacken den Nutzer zu einer gefälschten Webseite umzuleiten und dort Informationen abzugreifen. Da viele Anwender https-Verbindungen nahezu blind vertrauen, ergibt sich für deren Onlinekonten oder etwa Bankdaten eine reale Gefahr. Systeme von iPhone bis Macbook sollte man ohne die Updates keinesfalls über öffentliche Netze wie offene WLANs für derartige Anwendungen benutzen. Ob das eigene Gerät betroffen ist, lässt sich über eine neue - und nicht vom BSI verlinkte - Webseite herausfinden, die einer Codezeile der Lücke entsprechend gotofail.com benannt ist. Für das komplette Mitschneiden einer vermeintlich sicheren Verbindung gibt es auch schon Anwendungsbeispiele.

Updates gibt es bisher unter den folgenden Links für iOS 7 und iOS 6 sowie das Apple TV. Für OS X hat Apple zwar eine Fehlerbereinigung versprochen, aber bisher nicht geliefert. Nach bisherigen unabhängigen Analysen ist nur die aktuelle Version OS X 10.9 (Mavericks) betroffen, ältere Ausgaben des Betriebssystems nicht.

Dennoch sollten Nutzer bis zu einem Patch von Apple https-Verbindungen unter OS X wohl nicht vertrauen - zumindest, wenn sie mit dem Apple-Browser Safari hergestellt werden. Andere Browser, wie die aktuellen Versionen von Chrome oder Firefox, sind von dem Fehler nicht betroffen, weil sie sich nicht allein auf die SSL-Funktionen des Betriebssystems verlassen. Anwendungen wie Apple Mail, Facetime und iMessage sollten bis zum Erscheinen eines Patchs ebenfalls nicht verwendet werden, denn auch sie verwenden die fehlerhafte Funktion.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Magnetohydrodynamischer Antrieb
US-Militär lässt lautlosen U-Boot-Antrieb entwickeln

Bislang war magnetohydrodynamischer Antrieb der Fiktion vorbehalten. Dank Fortschritten in der Akku- und Fusionstechnik soll sich das ändern.

Magnetohydrodynamischer Antrieb: US-Militär lässt lautlosen U-Boot-Antrieb entwickeln
Artikel
  1. KI-Bildgenerator: Diese Kamera generiert, statt zu fotografieren
    KI-Bildgenerator
    Diese Kamera generiert, statt zu fotografieren

    Ein Bastler hat eine KI-Kamera ohne Objektiv gebaut. Paragraphica erzeugt Schnappschüsse mit einem Raspberry Pi und Stable Diffusion.

  2. Disney und Videostreaming: Über 100 Eigenproduktionen aus Abo von Disney+ entfernt
    Disney und Videostreaming
    Über 100 Eigenproduktionen aus Abo von Disney+ entfernt

    Eigentlich wollte Disney nur etwas mehr als 50 Eigenproduktionen aus Disney+ verschwinden lassen. Nun fehlen deutlich mehr Filme und Serien.

  3. Seekabel: Colt bietet eine europäische Verbindung in die USA
    Seekabel
    Colt bietet eine europäische Verbindung in die USA

    Colt bringt eine neue Seekabelverbindung von Europa in die USA, die stärker in europäischer Hand ist. Statt in New York landet man in New Jersey. Doch Google und Facebook sind dabei.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Roccat bis -50% • AVM Modems & Repeater bis -36% • MindStar: 13 Grafikkarten im Sale • Logitech G Pro Wireless Maus 89€ • The A500 Mini 74,99€ • Logitech G213 Prodigy Tastatur 49,90€ • Crucial P5 Plus (PS5-komp.) 1TB 71,99€, 2TB 133,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /