Abo
  • Services:

iOS und OS X: BSI warnt vor Apples SSL-Lücke

Über seinen Bürgerservice informiert das Bundesamt für Sicherheit in der Informationstechnik über die gravierenden Lücken in Apples Betriebssystemen. Patches für iOS 6 und 7 und das Apple TV gibt es, ein Update für OS X steht aber immer noch aus.

Artikel veröffentlicht am ,
Sicherheitslücke bei iOS 6 und 7 geschlossen
Sicherheitslücke bei iOS 6 und 7 geschlossen (Bild: Andreas Donath/Golem.de)

Das BSI hat eine Warnung vor der SSL-Lücke in iOS und OS X veröffentlicht. Dies geschah jedoch nicht über die Hauptwebseite der Behörde selbst, sondern über das Bürger-CERT. Mit diesem seit 2006 bestehenden Dienst will das Bundesamt für Sicherheit in der Informationstechnik Verbraucher mit allgemeinverständlichen Texten vor Sicherheitsproblemen warnen.

Stellenmarkt
  1. EWE TRADING GmbH, Bremen
  2. Sky Deutschland GmbH, Unterföhring bei München

Folglich fällt der Hinweis auch recht knapp aus und erklärt nicht, wie schwerwiegend die Lücke in Wirklichkeit ist. Durch den Fehler, der in allen bisher aktuellen Versionen der Apple-Software steckt, werden vermeintlich sichere Verbindungen per SSL ausgehebelt. Auch wenn beispielsweise unter OS X mit Safari eine Webseite mit "https" am Anfang der Adresse angesteuert wird, handelt es sich nicht um eine lückenlose Verschlüsselung. Bei der Überprüfung der dafür nötigen Zertifikate lassen die Apple-Betriebssysteme einen entscheidenden Schritt aus, so dass auch Zertifikate akzeptiert werden, die nicht vom angesteuerten Server stammen.

Testseite und Beispielcode im Netz

Dadurch ist es unter anderem möglich, durch Man-in-the-Middle-Attacken den Nutzer zu einer gefälschten Webseite umzuleiten und dort Informationen abzugreifen. Da viele Anwender https-Verbindungen nahezu blind vertrauen, ergibt sich für deren Onlinekonten oder etwa Bankdaten eine reale Gefahr. Systeme von iPhone bis Macbook sollte man ohne die Updates keinesfalls über öffentliche Netze wie offene WLANs für derartige Anwendungen benutzen. Ob das eigene Gerät betroffen ist, lässt sich über eine neue - und nicht vom BSI verlinkte - Webseite herausfinden, die einer Codezeile der Lücke entsprechend gotofail.com benannt ist. Für das komplette Mitschneiden einer vermeintlich sicheren Verbindung gibt es auch schon Anwendungsbeispiele.

Updates gibt es bisher unter den folgenden Links für iOS 7 und iOS 6 sowie das Apple TV. Für OS X hat Apple zwar eine Fehlerbereinigung versprochen, aber bisher nicht geliefert. Nach bisherigen unabhängigen Analysen ist nur die aktuelle Version OS X 10.9 (Mavericks) betroffen, ältere Ausgaben des Betriebssystems nicht.

Dennoch sollten Nutzer bis zu einem Patch von Apple https-Verbindungen unter OS X wohl nicht vertrauen - zumindest, wenn sie mit dem Apple-Browser Safari hergestellt werden. Andere Browser, wie die aktuellen Versionen von Chrome oder Firefox, sind von dem Fehler nicht betroffen, weil sie sich nicht allein auf die SSL-Funktionen des Betriebssystems verlassen. Anwendungen wie Apple Mail, Facetime und iMessage sollten bis zum Erscheinen eines Patchs ebenfalls nicht verwendet werden, denn auch sie verwenden die fehlerhafte Funktion.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,25€

JensM 26. Feb 2014

Also genauso sicher wie Windows 7 oder 8. Kann mich da spontan auch an keinen...

HansWurst1980 25. Feb 2014

HAHA. ich muss jetzt einfach mal lachen. Wie war das mit Flash und Apple? "der...


Folgen Sie uns
       


Windows 10 on Snapdragon - Test

Wir schauen uns Windows 10 on ARM auf zwei Snapdragon-Notebooks an.

Windows 10 on Snapdragon - Test Video aufrufen
Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Battlefield 5 Closed Alpha angespielt: Schneller sterben, länger tot
Battlefield 5 Closed Alpha angespielt
Schneller sterben, länger tot

Das neue Battlefield bekommt ein bisschen was von Fortnite und wird allgemein realistischer und dynamischer. Wir konnten in der Closed Alpha Eindrücke sammeln und erklären die Änderungen.
Von Michael Wieczorek

  1. Battlefield 5 Mehr Reaktionsmöglichkeiten statt schwächerer Munition
  2. Battlefield 5 Closed Alpha startet mit neuen Systemanforderungen
  3. Battlefield 5 Schatzkisten und Systemanforderungen

    •  /