iOS und OS X: BSI warnt vor Apples SSL-Lücke

Über seinen Bürgerservice informiert das Bundesamt für Sicherheit in der Informationstechnik über die gravierenden Lücken in Apples Betriebssystemen. Patches für iOS 6 und 7 und das Apple TV gibt es, ein Update für OS X steht aber immer noch aus.

Artikel veröffentlicht am ,
Sicherheitslücke bei iOS 6 und 7 geschlossen
Sicherheitslücke bei iOS 6 und 7 geschlossen (Bild: Andreas Donath/Golem.de)

Das BSI hat eine Warnung vor der SSL-Lücke in iOS und OS X veröffentlicht. Dies geschah jedoch nicht über die Hauptwebseite der Behörde selbst, sondern über das Bürger-CERT. Mit diesem seit 2006 bestehenden Dienst will das Bundesamt für Sicherheit in der Informationstechnik Verbraucher mit allgemeinverständlichen Texten vor Sicherheitsproblemen warnen.

Stellenmarkt
  1. Entwicklungsingenieur:in (m/w/d) - Fahrerassistenzsysteme / Autonomes Fahren
    IAV GmbH, Heimsheim
  2. Java Software Developer (w/m/d) Customer Service
    SSI SCHÄFER Automation GmbH, Giebelstadt, Dortmund, Münster, Oberviechtach
Detailsuche

Folglich fällt der Hinweis auch recht knapp aus und erklärt nicht, wie schwerwiegend die Lücke in Wirklichkeit ist. Durch den Fehler, der in allen bisher aktuellen Versionen der Apple-Software steckt, werden vermeintlich sichere Verbindungen per SSL ausgehebelt. Auch wenn beispielsweise unter OS X mit Safari eine Webseite mit "https" am Anfang der Adresse angesteuert wird, handelt es sich nicht um eine lückenlose Verschlüsselung. Bei der Überprüfung der dafür nötigen Zertifikate lassen die Apple-Betriebssysteme einen entscheidenden Schritt aus, so dass auch Zertifikate akzeptiert werden, die nicht vom angesteuerten Server stammen.

Testseite und Beispielcode im Netz

Dadurch ist es unter anderem möglich, durch Man-in-the-Middle-Attacken den Nutzer zu einer gefälschten Webseite umzuleiten und dort Informationen abzugreifen. Da viele Anwender https-Verbindungen nahezu blind vertrauen, ergibt sich für deren Onlinekonten oder etwa Bankdaten eine reale Gefahr. Systeme von iPhone bis Macbook sollte man ohne die Updates keinesfalls über öffentliche Netze wie offene WLANs für derartige Anwendungen benutzen. Ob das eigene Gerät betroffen ist, lässt sich über eine neue - und nicht vom BSI verlinkte - Webseite herausfinden, die einer Codezeile der Lücke entsprechend gotofail.com benannt ist. Für das komplette Mitschneiden einer vermeintlich sicheren Verbindung gibt es auch schon Anwendungsbeispiele.

Updates gibt es bisher unter den folgenden Links für iOS 7 und iOS 6 sowie das Apple TV. Für OS X hat Apple zwar eine Fehlerbereinigung versprochen, aber bisher nicht geliefert. Nach bisherigen unabhängigen Analysen ist nur die aktuelle Version OS X 10.9 (Mavericks) betroffen, ältere Ausgaben des Betriebssystems nicht.

Golem Akademie
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    19./20.05.2022, virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
Weitere IT-Trainings

Dennoch sollten Nutzer bis zu einem Patch von Apple https-Verbindungen unter OS X wohl nicht vertrauen - zumindest, wenn sie mit dem Apple-Browser Safari hergestellt werden. Andere Browser, wie die aktuellen Versionen von Chrome oder Firefox, sind von dem Fehler nicht betroffen, weil sie sich nicht allein auf die SSL-Funktionen des Betriebssystems verlassen. Anwendungen wie Apple Mail, Facetime und iMessage sollten bis zum Erscheinen eines Patchs ebenfalls nicht verwendet werden, denn auch sie verwenden die fehlerhafte Funktion.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


JensM 26. Feb 2014

Also genauso sicher wie Windows 7 oder 8. Kann mich da spontan auch an keinen...

HansWurst1980 25. Feb 2014

HAHA. ich muss jetzt einfach mal lachen. Wie war das mit Flash und Apple? "der...



Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Autonomes Fahren: Bundesrat fordert Promillegrenze für Aufsichtspersonal
    Autonomes Fahren
    Bundesrat fordert Promillegrenze für Aufsichtspersonal

    Die Länder haben den Vorgaben zum autonomen Fahren prinzipiell zugestimmt. Doch sie fordern noch zahlreiche Änderungen.

  2. Wochenrückblick: Nicht vertrauenswürdig
    Wochenrückblick
    Nicht vertrauenswürdig

    Golem.de-Wochenrückblick VPNs und Betrüger bei Kleinanzeigen: die Woche im Video.

  3. Raumfahrt: Starliner erreicht erstmals Internationale Raumstation
    Raumfahrt
    Starliner erreicht erstmals Internationale Raumstation

    Nach einer Verzögerung von mehr als zwei Jahren hat Boeings Starliner doch noch einen erfolgreichen Flug zur Internationalen Raumstation ISS absolviert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /