Apple schliesst Sicherheitslücke im iOS-AppStore
Mit einem Einzeiler auf den WebServer-Notifications meldet Apple die Lücke als geschlossen. Freilich, ohne das von einer explizieten Lücke gesprochen wird:
Active content is now served over HTTPS by default. We would like to acknowledge Bernhard ‚Bruhns‘ Brehm of Recurity Labs, Elie Bursztein of Google, and Rahul Iyer of Bejoi LLC for reporting this issue.
Diese Lücke entstand, da die AppStore-App der iOS-Geräte, also iPhone, iPad und iPod Apps und Updates sowie Kontodaten und Passwörter unverschlüsselt ohne SSL übertrug. Dies ermöglichte sogenannte Man-in-the-Middle-Angriffe. Dieser Fehler war unter anderem bereits durch Google-Forscher Elie Bursztein Apple im Juli 2012 gemeldet worden. In einem aktuellen Blogpost beschreibt Bursztein verschiedene, jetzt nicht mehr mögliche Angriffsszenarien.
Warum Apple diesen Schritt nicht bereits viel früher gegangen ist, bleibt unklar. Grundsätzliche Überlegungen zu SSL sind meist auf die Kapazität an Rechenleistung abgezielt – hier benötigt SSL mehr Kapazität auf dem Server. Dies dürfte aber für einen Weltkonzern von Apples Kaliber kein Problem sein.
Weitere Berichte zum Thema:
Kategorie: Nachrichten, Sicherheit, Smartphones, Software, Tablet-PC-Systeme