Abo
  • Services:

iOS und OS X: BSI warnt vor Apples SSL-Lücke

Über seinen Bürgerservice informiert das Bundesamt für Sicherheit in der Informationstechnik über die gravierenden Lücken in Apples Betriebssystemen. Patches für iOS 6 und 7 und das Apple TV gibt es, ein Update für OS X steht aber immer noch aus.

Artikel veröffentlicht am ,
Sicherheitslücke bei iOS 6 und 7 geschlossen
Sicherheitslücke bei iOS 6 und 7 geschlossen (Bild: Andreas Donath/Golem.de)

Das BSI hat eine Warnung vor der SSL-Lücke in iOS und OS X veröffentlicht. Dies geschah jedoch nicht über die Hauptwebseite der Behörde selbst, sondern über das Bürger-CERT. Mit diesem seit 2006 bestehenden Dienst will das Bundesamt für Sicherheit in der Informationstechnik Verbraucher mit allgemeinverständlichen Texten vor Sicherheitsproblemen warnen.

Stellenmarkt
  1. BWI GmbH, Bonn
  2. Rücker + Schindele Beratende Ingenieure GmbH, München

Folglich fällt der Hinweis auch recht knapp aus und erklärt nicht, wie schwerwiegend die Lücke in Wirklichkeit ist. Durch den Fehler, der in allen bisher aktuellen Versionen der Apple-Software steckt, werden vermeintlich sichere Verbindungen per SSL ausgehebelt. Auch wenn beispielsweise unter OS X mit Safari eine Webseite mit "https" am Anfang der Adresse angesteuert wird, handelt es sich nicht um eine lückenlose Verschlüsselung. Bei der Überprüfung der dafür nötigen Zertifikate lassen die Apple-Betriebssysteme einen entscheidenden Schritt aus, so dass auch Zertifikate akzeptiert werden, die nicht vom angesteuerten Server stammen.

Testseite und Beispielcode im Netz

Dadurch ist es unter anderem möglich, durch Man-in-the-Middle-Attacken den Nutzer zu einer gefälschten Webseite umzuleiten und dort Informationen abzugreifen. Da viele Anwender https-Verbindungen nahezu blind vertrauen, ergibt sich für deren Onlinekonten oder etwa Bankdaten eine reale Gefahr. Systeme von iPhone bis Macbook sollte man ohne die Updates keinesfalls über öffentliche Netze wie offene WLANs für derartige Anwendungen benutzen. Ob das eigene Gerät betroffen ist, lässt sich über eine neue - und nicht vom BSI verlinkte - Webseite herausfinden, die einer Codezeile der Lücke entsprechend gotofail.com benannt ist. Für das komplette Mitschneiden einer vermeintlich sicheren Verbindung gibt es auch schon Anwendungsbeispiele.

Updates gibt es bisher unter den folgenden Links für iOS 7 und iOS 6 sowie das Apple TV. Für OS X hat Apple zwar eine Fehlerbereinigung versprochen, aber bisher nicht geliefert. Nach bisherigen unabhängigen Analysen ist nur die aktuelle Version OS X 10.9 (Mavericks) betroffen, ältere Ausgaben des Betriebssystems nicht.

Dennoch sollten Nutzer bis zu einem Patch von Apple https-Verbindungen unter OS X wohl nicht vertrauen - zumindest, wenn sie mit dem Apple-Browser Safari hergestellt werden. Andere Browser, wie die aktuellen Versionen von Chrome oder Firefox, sind von dem Fehler nicht betroffen, weil sie sich nicht allein auf die SSL-Funktionen des Betriebssystems verlassen. Anwendungen wie Apple Mail, Facetime und iMessage sollten bis zum Erscheinen eines Patchs ebenfalls nicht verwendet werden, denn auch sie verwenden die fehlerhafte Funktion.



Anzeige
Blu-ray-Angebote
  1. 34,99€

JensM 26. Feb 2014

Also genauso sicher wie Windows 7 oder 8. Kann mich da spontan auch an keinen...

HansWurst1980 25. Feb 2014

HAHA. ich muss jetzt einfach mal lachen. Wie war das mit Flash und Apple? "der...


Folgen Sie uns
       


BMW stellt seinen Formel-E-Rennwagen vor - Bericht

BMW setzt auf elektrischen Motorsport: Die Münchener treten als zweiter deutscher Autohersteller in der Rennserie Formel E an. BMW hat in München das Fahrzeug für die Saison 2018/19 vorgestellt.

BMW stellt seinen Formel-E-Rennwagen vor - Bericht Video aufrufen
Zukunft der Arbeit: Was Automatisierung mit dem Grundeinkommen zu tun hat
Zukunft der Arbeit
Was Automatisierung mit dem Grundeinkommen zu tun hat

Millionen verlieren ihren Job, aber die Gesellschaft gewinnt dabei trotzdem: So stellen sich die Verfechter des bedingungslosen Grundeinkommens die Zukunft vor. Wie soll das gehen?
Eine Analyse von Daniel Hautmann

  1. Verbraucherschutzminister Kritik an eingeschränktem Widerspruchsrecht im Online-Handel
  2. Bundesfinanzminister Scholz warnt vor Schnellschüssen bei Digitalsteuer
  3. Sommerzeit EU-Kommission will die Zeitumstellung abschaffen

Amazon Alexa: Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
Amazon Alexa
Echo Sub verhilft Echo-Lautsprechern zu mehr Bass

Amazon hat einen Subwoofer speziell für Echo-Lautsprecher vorgestellt. Damit sollen die eher bassarmen Lautsprecher mit einem ordentlichen Tiefbass ausgestattet werden. Zudem öffnet Amazon seine Multiroom-Musikfunktion für Alexa-Lautsprecher anderer Hersteller.

  1. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  2. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark
  3. Alexa-Soundbars im Test Sonos' Beam und Polks Command Bar sind die Klangreferenz

Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

    •  /