Abo
  • Services:
Anzeige
Sicherheitslücke bei iOS 6 und 7 geschlossen
Sicherheitslücke bei iOS 6 und 7 geschlossen (Bild: Andreas Donath/Golem.de)

iOS und OS X: BSI warnt vor Apples SSL-Lücke

Über seinen Bürgerservice informiert das Bundesamt für Sicherheit in der Informationstechnik über die gravierenden Lücken in Apples Betriebssystemen. Patches für iOS 6 und 7 und das Apple TV gibt es, ein Update für OS X steht aber immer noch aus.

Anzeige

Das BSI hat eine Warnung vor der SSL-Lücke in iOS und OS X veröffentlicht. Dies geschah jedoch nicht über die Hauptwebseite der Behörde selbst, sondern über das Bürger-CERT. Mit diesem seit 2006 bestehenden Dienst will das Bundesamt für Sicherheit in der Informationstechnik Verbraucher mit allgemeinverständlichen Texten vor Sicherheitsproblemen warnen.

Folglich fällt der Hinweis auch recht knapp aus und erklärt nicht, wie schwerwiegend die Lücke in Wirklichkeit ist. Durch den Fehler, der in allen bisher aktuellen Versionen der Apple-Software steckt, werden vermeintlich sichere Verbindungen per SSL ausgehebelt. Auch wenn beispielsweise unter OS X mit Safari eine Webseite mit "https" am Anfang der Adresse angesteuert wird, handelt es sich nicht um eine lückenlose Verschlüsselung. Bei der Überprüfung der dafür nötigen Zertifikate lassen die Apple-Betriebssysteme einen entscheidenden Schritt aus, so dass auch Zertifikate akzeptiert werden, die nicht vom angesteuerten Server stammen.

Testseite und Beispielcode im Netz

Dadurch ist es unter anderem möglich, durch Man-in-the-Middle-Attacken den Nutzer zu einer gefälschten Webseite umzuleiten und dort Informationen abzugreifen. Da viele Anwender https-Verbindungen nahezu blind vertrauen, ergibt sich für deren Onlinekonten oder etwa Bankdaten eine reale Gefahr. Systeme von iPhone bis Macbook sollte man ohne die Updates keinesfalls über öffentliche Netze wie offene WLANs für derartige Anwendungen benutzen. Ob das eigene Gerät betroffen ist, lässt sich über eine neue - und nicht vom BSI verlinkte - Webseite herausfinden, die einer Codezeile der Lücke entsprechend gotofail.com benannt ist. Für das komplette Mitschneiden einer vermeintlich sicheren Verbindung gibt es auch schon Anwendungsbeispiele.

Updates gibt es bisher unter den folgenden Links für iOS 7 und iOS 6 sowie das Apple TV. Für OS X hat Apple zwar eine Fehlerbereinigung versprochen, aber bisher nicht geliefert. Nach bisherigen unabhängigen Analysen ist nur die aktuelle Version OS X 10.9 (Mavericks) betroffen, ältere Ausgaben des Betriebssystems nicht.

Dennoch sollten Nutzer bis zu einem Patch von Apple https-Verbindungen unter OS X wohl nicht vertrauen - zumindest, wenn sie mit dem Apple-Browser Safari hergestellt werden. Andere Browser, wie die aktuellen Versionen von Chrome oder Firefox, sind von dem Fehler nicht betroffen, weil sie sich nicht allein auf die SSL-Funktionen des Betriebssystems verlassen. Anwendungen wie Apple Mail, Facetime und iMessage sollten bis zum Erscheinen eines Patchs ebenfalls nicht verwendet werden, denn auch sie verwenden die fehlerhafte Funktion.


eye home zur Startseite
JensM 26. Feb 2014

Also genauso sicher wie Windows 7 oder 8. Kann mich da spontan auch an keinen...

HansWurst1980 25. Feb 2014

HAHA. ich muss jetzt einfach mal lachen. Wie war das mit Flash und Apple? "der...



Anzeige

Stellenmarkt
  1. Freie und Hansestadt Hamburg - Behörde für Stadtentwicklung und Wohnen, Hamburg
  2. Robert Bosch GmbH, Leonberg
  3. Zentrum für Kunst und Medientechnologie Karlsruhe, Karlsruhe
  4. PSD Bank Karlsruhe-Neustadt eG, Karlsruhe


Anzeige
Spiele-Angebote
  1. kaufen und 5€-Gutschein erhalten
  2. ab 59,98€ (Vorbesteller-Preisgarantie)
  3. ab 129,99€

Folgen Sie uns
       


  1. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  2. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  3. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  4. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  5. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  6. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  7. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  8. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  9. SteamVR

    Valve zeigt Knuckles-Controller

  10. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s

1Sheeld für Arduino angetestet: Sensor-Platine hat keine Sensoren und liefert doch Daten
1Sheeld für Arduino angetestet
Sensor-Platine hat keine Sensoren und liefert doch Daten
  1. Calliope Mini im Test Neuland lernt programmieren
  2. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  3. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif

Mesh- und Bridge-Systeme in der Praxis: Mehr Access Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr Access Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

  1. Re: Wie "Anspannung im Netz" und Atomkraftwerke...

    EWCH | 14:07

  2. Re: Verstehe ich nicht ganz

    mr_tux | 14:03

  3. Re: Was redest Du da?

    divStar | 14:02

  4. Re: Die Gerüchte dazu wurden stets dementiert, ...

    maverick1977 | 14:02

  5. Re: gegen Kostenerstattung abgeschaltet... Warum?

    ChMu | 14:02


  1. 13:30

  2. 12:14

  3. 11:43

  4. 10:51

  5. 09:01

  6. 17:40

  7. 16:22

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel