Mindestens sechs Monate sind vergangenen, nachdem Apple über eine Möglichkeit informiert wurden, dass die Art und Weise wie sich Anwendern mit dem App Store verbinden, eine Sicherheitslücke enthält, um die Verbindung zu verschlüsseln und somit das Sicherheitsproblem aus der Welt zu schaffen.
Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Bereits im Juli 2012 informierte Google Sicherheitsexperte Elie Bursztein Apple, dass die App Store iOS App über mehrere Sicherheitslücken verfügt. In der vergangenen Woche hat Apple endlich reagiert, die Mängel behoben und HTTPS (anstatt nur HTTP-Verbindungen) für den App Store aktiviert.
Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Zur Veranschauung hat Bursztein ein paar Videos gefreht, wie sich das Sicherheitsproblem negativ auswirken könnte. Seine „Attacke“ innerhalb eines aktiven Netzwerks lässt es zu, dass der nicht verschlüsselte (HTTP) Netzwerk-Verkehr gelesen, abgefangen oder manipuliert werden kann. Diese Attacke konnte z.B. in jedem öffentlichen WiFi-Netz durchgeführt werden.
Dadurch, dass Apple auf eine nicht verschlüsselte Verbindung gesetzt hat, konnten Passwörter gestohlen, andere Apps, als die vom Anwender ausgesucht, installiert werden und „Fake-Upates“ durchgeführt werden.
Das war kein Bug und somit unkritisch. Google macht mal wieder Wind um nichts.
Um einen Benutzer angreifen zu können müsste der Angreifer als Apple signieren können. Oder aber das iPhone nehmen, rooten und eine neue Certificate Authority installieren.
Nunja, Schmutz werfen ist in.